Privy 扩展嵌入式钱包的多因素身份验证（MFA）功能

Privy扩展嵌入式钱包的多因素身份验证（MFA）功能身份验证工具提供商Privy扩展了嵌入式钱包的多因素身份验证（MFA）功能，增加了对通行密钥的支持。激活MFA后，任何访问钱包私钥的操作，如签署信息、发送交易、导出钱包或在新设备上恢复钱包，都需要MFA验证。密码钥匙使用户能够使用生物识别数据进行验证，从而增强了安全性和体验。Privy还支持短信和一次性密码验证应用程序作为MFA方法。Privy的工具包允许开发人员将web2登录选项集成到自己的应用程序中，包括电子邮件、短信和社交媒体登录。

【Privy扩展嵌入式钱包的多因素身份验证（MFA）功能】

【Privy扩展嵌入式钱包的多因素身份验证（MFA）功能】2024年05月11日11点06分老不正经报道，身份验证工具提供商Privy扩展了嵌入式钱包的多因素身份验证（MFA）功能，增加了对通行密钥的支持。激活MFA后，任何访问钱包私钥的操作，如签署信息、发送交易、导出钱包或在新设备上恢复钱包，都需要MFA验证。密码钥匙使用户能够使用生物识别数据进行验证，从而增强了安全性和体验。Privy还支持短信和一次性密码验证应用程序作为MFA方法。Privy的工具包允许开发人员将web2登录选项集成到自己的应用程序中，包括电子邮件、短信和社交媒体登录。

微软了解 Microsoft Teams 的漏洞存在，但并不打算修复它

微软了解MicrosoftTeams的漏洞存在，但并不打算修复它据安全公司Vectra称，MicrosoftTeams以未加密的明文模式存储身份验证令牌，从而允许攻击者潜在地控制组织内的通信。该漏洞影响了使用微软Electron框架构建的Windows、Mac和Linux桌面应用程序。微软已经意识到了这个问题，但表示没有计划在短期内进行修复，因为漏洞利用还需要网络访问。根据Vectra的说法，具有本地或远程系统访问权限的黑客可以窃取当前在线的任何Teams用户的凭据，然后即使在他们离线时也可以冒充他们。他们还可以通过与Teams相关的应用程序（例如Skype或Outlook）假装是用户，同时绕过通常需要的多因素身份验证(MFA)。——

Bitwarden推出开源免费独立的多因素认证器Bitwarden Authenticator

Bitwarden推出开源免费独立的多因素认证器BitwardenAuthenticator用户可以下载安装这款验证器并绑定各类网站，然后生成基于时间的一次性密码(TOTP)，在执行账户登录时除了需要账户和密码外，还需要输入一次性验证码才能完成登录。对个人用户来说：这款验证器和谷歌身份验证器、微软身份验证器的功能相同，特点在于完全开源，相较于微软身份验证器来说更加简洁，即便用户完全离线也可以使用。对企业用户来说：Bitwarden计划在未来为这款验证器添加企业级精细管理功能，即企业IT管理员将可以在企业内部批量实施MFA验证，然后对不同的员工账号和权限进行精细化控制，满足企业对增强安全性的需求。作为业界领先的开源免费密码管理器提供商，Bitwarden此次推出的身份验证器继续采用开源免费策略，为所有行业的企业和机构提供一个更安心的验证工具。这也可以吸引更多用户采用多因素认证功能来提高账户安全性，对用户来说，但凡网站或服务支持绑定多因素认证功能那就应该都绑定，这可以大幅度提高账户安全性，包括应对密码泄露、撞库和疲劳攻击等。现在所有用户都可以通过苹果的AppStore和谷歌的GooglePlay商店下载BitwardenAuthenticator，无需注册账户、下载后即可使用，但请注意：在网站或服务中开通MFA时记得将备用代码保存。从蓝点网文件服务器下载：https://dl.lancdn.com/landian/apps/bitwarden-authenticator...PC版：https://www.cnbeta.com.tw/articles/soft/1429443.htm手机版：https://m.cnbeta.com.tw/view/1429443.htm

重要: 部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险

重要:部分应用内置的支付宝支付组件可能有身份验证漏洞，存在盗刷风险原理:部分应用内置支付宝支付组件，可在用户无支付宝App环境下快捷付款，但该组件存在可被抓包劫持的问题，攻击者可通过流量抓包捕获验证码请求，并篡改短信获取手机号码实现验证码登录，但支付仍然需要支付密码才能成功支付漏洞级别:重要［需要用户注意］漏洞利用难度:一般［攻击者需要持有目标多项信息，但信息获取难度较低，虽然支付宝存在安全风控防护，但仍然存在被批量风险］注意:由于国内隐私问题，大量公民个人信息泄露，攻击者非常容易凑齐大量公民的手机号码，户主名称以及身份证号码，加上用户习惯性的将自己生日或某账号等设置为自己的六位数支付密码，攻击者非常容易实现批量碰撞盗刷由于支付组件会缓存用户登录信息方便快捷付款。所以登录状态可能会出现被长时间缓存至攻击者设备内，但每次付款仍然需要输入支付密码，但更改支付密码并不能将所有设备踢出支付状态。攻击者在获取登录状态过后，可持续性的查看账号内的金额，绑定卡片等一系列私密信息处置建议:更改自己支付宝支付密码，尽量不要使其与自己身份产生关联，采用随机六位数字，避免使用生日等重要日期，开启支付宝通知权限，及时获取支付消息，确保每一笔支付由本人支付注意:由于支付宝存在安全支付风控措施，所以攻击者只能尝试进行小额支付，用户需注意自己账户是否出现密集的小额扣款及未知小额扣款

微软向所有用户开放无密码登录功能

微软向所有用户开放无密码登录功能微软日前宣布该公司将在未来几周内向所有用户提供无密码登录体验，届时用户可主动将密码从账户里彻底删除。取而代之的是WindowsHello生物识别验证、微软身份验证器、安全密钥、短信验证码或者邮件验证码等登录。其中WindowsHello支持指纹、虹膜、PIN码快速验证, 而身份验证器支持通过选择数字或人脸识别完成验证。基于开放系统构建的FIDO2类安全密钥也可以直接验证, 若上述验证都不起作用用户还可以用短信或邮件验证。（，）别！一个短信验证码就能登录账户我是不放心的。