GitHub：2023年底前所有用户账户需启用双因素身份验证

GitHub：2023年底前所有用户账户需启用双因素身份验证据GitHub此前的内部统计显示，只有约16.5%的活跃用户在账户上启用了增强的安全措施，鉴于该平台的用户群体，这个数字低得令人惊讶。根据新的规定，如果用户账户没有在规定的最后期限内启用2FA，账户将会被GitHub注销。谷歌此前也曾透露，只需在账户中添加一个辅助电话号码，就可以阻止多达100%的自动机器人攻击、99%的批量网络钓鱼攻击和66%的定向攻击。https://www.freebuf.com/news/332057.html——————这届用户不行

【Tether CTO：不要依赖短信双因素认证，建议使用OTP 2FA或U2F】

【TetherCTO：不要依赖短信双因素认证，建议使用OTP2FA或U2F】2023年09月10日03点22分老不正经报道，美元稳定币USDT发行方Tether首席科技官PaoloArdoino在社交媒体发文称，不要依赖短信双因素认证SMS2FA，因为它很容易成为SIMSwaps的攻击目标，因为攻击者可能会获得SIM卡的副本或者通过伪基站拦截到短信验证码。PaoloArdoino建议使用OTP2FA（身份验证区应用程序），或是如果可以的话也可以使用U2F（yubikey）。

密码管理器 1Password 推出 Recovery：用户忘记密码 / 无法使用多因素认证，也能重掌其账号

密码管理器1Password推出Recovery：用户忘记密码/无法使用多因素认证，也能重掌其账号https://www.ithome.com/0/776/644.htmRecovery密码是由App或者网站生成的唯一安全密码，便于用户忘记账号密码、无法使用双因素身份验证，或者丢失包含SecretKey的EmergencyKit（1Password）时，帮助用户重新获得账户访问权。

【CertiK：微软高危零日漏洞可执行任意代码，建议用户使用硬件钱包】

【CertiK：微软高危零日漏洞可执行任意代码，建议用户使用硬件钱包】CertiK安全团队发现，近日，微软Office中一个被称为"Follina"的零日漏洞（编号CVE-2022-30190）被发现。攻击者可使用微软的微软支持诊断工具（MSDT），从远程URL检索并执行恶意代码。微软Office的系列套件和使用MSDT的产品目前仍有可能受该零日漏洞的影响。由于该漏洞允许攻击者绕过密码保护，通过这种方式，黑客能够查看并获得受害者的系统和个人信息。这个零日漏洞允许黑客进一步攻击，提升黑客在受害者系统里的权限，并获得对本地系统和运行进程的额外访问，包括目标用户的互联网浏览器和浏览器插件，如Metamask。CertiK安全团队建议，正确保护你的设备和个人信息。

【Imperva：OpenSea漏洞允许用户对平台上NFT交易者的身份进行去匿名化处理】

【Imperva：OpenSea漏洞允许用户对平台上NFT交易者的身份进行去匿名化处理】3月12日消息，安全公司Imperva揭示了OpenSea的一个漏洞，该漏洞允许用户对平台上NFT交易者的身份进行去匿名化处理。此次漏洞是由OpenSea使用的iFrame-resizer库配置错误引起的，错误配置导致存在跨站点搜索漏洞，黑客利用该漏洞可获取用户身份。目前，OpenSea已经解决了这个问题，但不确定是否有用户信息泄露。