Tag: android

Opublikowane w

Google Authenticator ma backup

Piekło zamarzło. Przedwczoraj na blogu ogłoszono, że Google Authenticator dorobił się backupu kodów na koncie Google. Wersja oferująca tę funkcjonalność jest już do pobrania z Google Play. To duża i ważna zmiana i okazja do notki. Przy okazji zmieniła się niestety ikona programu.

Jak działa TOTP?

Zasada działania TOTP (Time-based One-Time Passwords) jest bardzo prosta, a implementacja w większości języków to kilka-kilkanaście linii kodu. W skrócie: najpierw, przy włączaniu tej metody uwierzytelniania, serwer generuje i zapisuje sekret. Dzieli się nim z użytkownikiem, zwykle przy pomocy QRcode.

Od tej pory kody są generowane na podstawie bieżącego czasu (unix timestamp), zaokrąglonego do 30 lub 60 sekund, oraz ww. sekretu. Najpierw są hashowane, następnie hash jest przekształcany na sześciocyfrowy kod. I już.

Jak widać, do generowania kodów dla danego użytkownika wystarczy poznać sekret. Natomiast z uwagi na użycie funkcji skrótu, odtworzenie sekretu z kodu jest bardzo trudne. Sprytne.

Znaczenie

Czemu to takie ważne? Brak jasnego, prostego sposobu backupów był dla mnie ogromnym argumentem przeciw korzystaniu z TOTP. Stosunkowo łatwo było stracić dostęp do kodów, czyli odciąć się od serwisu. A dostępność jest przecież składową bezpieczeństwa. Dlatego wolałem jako 2FA wykorzystywać kody SMS. Mocno niedoskonałe: drogie, niewygodne, zawodne, podatne na ataki. Oczywiście koszt jest po stronie serwisu, który musi wysyłać kody. Wygoda to rzecz dyskusyjna, niektórzy dostawcy nawet nie mieli dużego opóźnienia w dostarczaniu SMSów. Awarie operatorów nie zdarzały się często, a SIM swap nie jest tanim czy łatwym atakiem.

Oczywiście istniały alternatywne aplikacje, które oferowały backup sekretów. Tylko jakoś bardziej ufam dostawcy systemu operacyjnego na moje urządzenie, niż losowej appce. Podejrzewam, że ludzi takich jak ja było więcej.

Jak było wcześniej?

Wcześniej było… słabo. Z backupem Google Authenticator można było sobie radzić na kilka sposobów. Pierwszym było zdjęcie/screenshot QRcode przy włączaniu TOTP. Średnio wygodne w przechowywaniu (bitmapa/wydruk), zajmujące dużo miejsca, żeby wyszukiwać trzeba dobrze opisać.

Kolejny sposób to zapisanie kodów ratunkowych. Większość serwisów w momencie generowania sekretu TOTP podaje kody ratunkowe do wydrukowania/zapisania. Niezłe, o ile ktoś korzysta z managera haseł.

Ostatni sposób to… drugie urządzenie z Google Authenticator i utrzymywanie kodów na obu urządzeniach. Dość drogie z uwagi na koszt kolejnego urządzenia, niezbyt wygodne z uwagi na konieczność ręcznej synchronizacji.

Jak widać, powyższe sposoby są niezbyt wygodne, albo działają dla osób, które mają dobrze poukładane backupy. Dla osób, które po prostu chcą mieć zabezpieczone konta przez 2FA, a niekoniecznie chcą projektować system backupów, uwzględniając jego dostępność – bardzo średnie. Bo właśnie, fajnie, że masz wydrukowane QRcode’y czy kody ratunkowe przechowywane w sejfie. Ale co jesteś właśnie na wakacjach i tracisz telefon, wraz z dostępem do wszystkich serwisów?

Wady

Obecne rozwiązanie nie jest idealne. Nadal będziemy uzależnieni od Google w kwestii backupu kodów i ich odzyskania. Dla większości ludzi będzie to zapewne akceptowalne ryzyko, tym bardziej, że ma znaczenie wyłącznie przy odzyskiwaniu, czyli bardzo rzadko.

Kolejną wadą jest trzymanie wszystkich jajek w jednym miejscu. Konto Google staje się SPOF. Szczególnie, jeśli ktoś korzysta także z zapamiętywania haseł przy pomocy Google.

Jeszcze osobną sprawą jest kwestia zaufania do samego Google. Nie napisałem tego pierwotnie i wprost, ale uznałem, że jeśli mamy OS od Google, zintegrowany z ich sklepem i konto w ich serwisie, to z jakiegoś powodu ufamy Google. Zależy oczywiście od modelu zagrożeń.

Zaufanie do Google jest tym istotniejsze, że backup kodów trafia do Google w postaci niezaszyfrowanej. Czy Google udostępni np. służbom kody 2FA? Nie wiem, ale się domyślam. Po raz kolejny, kwestia modelu zagrożeń. Szczęśliwie Google zapowiedziało dodanie szyfrowania.

Podsumowanie

Uważam tę zmianę za bardzo dobrą, z punktu widzenia przeciętnego użytkownika i mam nadzieję, że przyczyni się do popularyzacji 2FA. W ogóle ostatnio mamy dobry klimat dla 2FA opartych o TOTP. Najpierw wyłączenie 2FA przy pomocy SMSów w Twitterze, teraz backupy w Google Authenticator.

Paradoksalnie jednak, po tej zmianie może się okazać, że… lepiej zmienić dostawcę appki do 2FA, niż włączać backup do chmury Google w Google Authenticator. W sugerowanych pojawiły się FreeOTP, FreeOTP+, 2FAS.

UPDATE: Dodane info o zaufaniu do Google. Dodane info o braku szyfrowania i zapowiedź dodania. Zaktualizowane podsumowanie.

Opublikowane w

Spotify

W końcu się skusiłem na Spotify. Co prawda do tej pory największy portal z pirackim contentem, czyli YouTube, dawał radę, ale inni członkowie rodziny byli innego zdania. W sumie rozumiem. YouTube na telefonie to nieporozumienie. Wymaga włączonego ekranu i focusa na odtwarzającej aplikacji. To do słuchania muzyki jest zupełnie zbędne, a tylko rozładowuje baterię.

Na razie korzystam z wersji free, ale kupno wersji family[1] jest postanowione. W zasadzie mógłbym mieć wersję premium, bo dają, chyba na trzy miesiące[2], ale odkryłem ciekawostkę. Przy korzystaniu z przeglądarki internetowej, z ublockiem, nawet wersja free nie ma reklam. Co prawda korciło wypróbowanie ficzerów dostępnych w wersji płatnej, ale ponieważ i tak chwilowo nie mam czasu, gram z przeglądarki. I oznaczam ulubione.

Jeśli chodzi do ficzery to jest najważniejsze – możliwość pobierania muzyki do słuchania offline. Przyda się do zrobienia składanek do słuchania w aucie. Co prawda i tak mało jeżdżę ostatnio, ale składanki się przydadzą. Do tej pory nastawiałem się na album splitter opisany przy okazji tego wpisu.

Kolejna sprawa: jest aplikacja na Linuksa. Niejedna, bo widziałem jakieś nieoficjalne, działające w konsoli. Nie testowałem, bo ta oryginalna nawet działa, ale ponieważ miała reklamy, to wróciłem do przeglądarki. Sama aplikacja posiada ciekawą funkcjonalność – pozwala sterować odtwarzaniem na innych podłączonych urządzeniach. Wygląda bardzo interesująco, tym bardziej, że widziałem np. głośniki WiFi, które potrafią same odtwarzać Spotify. Może kiedyś na coś podobnego się skuszę.

Dostępność muzyki bardzo dobra. W sumie chyba nie zdarzyło mi się nie znaleźć czegoś z mainstreamu. Niszowych kapel garażowych nie ma, ale tego się spodziewałem. Raczej zdziwiłbym się, gdyby były. W końcu nie miały oficjalnych wydań albumów. Trochę brakuje mi danych o utworze i płycie z której pochodzi. Zdarzyło mi się trafić na wersje koncertowe, gdy szukałem podstawowych, z albumów.

To, co najbardziej mnie rozczarowało, to funkcja podpowiadania muzyki. Gdzie te ML i AI, się pytam? Nie no, oczywiście, coś tam się znalazło. Ale nadal, spodziewałem się czegoś, co zareaguje na like czy skip na utworze. Tymczasem nic takiego się nie dzieje, podpowiada wg swojego widzimisię. W dodatku zauważyłem, że ma tendencję do zapętlania się na tych samych utworach. Znaczy nic, czego nie było w YouTube. Szkoda, bo przydałby się tryb odkrywania nowej muzyki, czyli polecania utworów albo wykonawców w jakiś sposób podobnych, ale różnych. W wersji idealnej – ze sterowaniem poziomem losowości. Wygląda jednak, że Spotify skupiło się na radiach i różnego rodzaju listach itp. grupach tematycznych.

No nic, spróbuję zrobić na razie własne składanki… dlatego oznaczam ulubione utwory.

[1] Wersja family kosztuje aktualnie 30 zł. Jestem praktycznie pewien, że przed chwilą było to 25 zł.
[2] Też co chwilę się zmienia. Były trzy m-ce, są cztery.

UPDATE Z miejsca obok pojawiły się godne odnotowania sugestie dotyczące YouTube na Androidzie, rozwiązujące problem świecącego ekranu: LibreTube, Newpipe. Obie appki niedostępne w oficjalnym sklepie Google, wymagany F-Droid.

Opublikowane w

Płomień i krzyż

Jakiś czas temu skusiłem się na Empik Premium. Co prawda z cashback Empik się wycofał, ale nadal uważam, że w sumie warto, bo głównie o dostęp do audiobooków w ramach Empik Go mi chodziło. W każdym razie 50 zł[1] za rok wydawało się niewygórowane. I choć mam wrażenie, że na początku dostępnych było więcej tytułów, to nadal uważam, że to fajna opcja.

W każdym razie szukałem jakiegoś audiobooka do posłuchania na Empik Go. Jakoś padło na Płomień i krzyż autorstwa Jacka Piekary. Niczego tego autora nie znałem, choć nazwisko kojarzyłem. Polska fantastyka, ilość tytułów, ocena w okolicy 4 i do tego opowiadania nie nastrajały zbyt optymistycznie. Jednak stwierdziłem, że dam szansę. Pozytywne zaskoczenie: lekko się czyta (słucha!), ciekawy pomysł i na dobrą sprawę, z uwagi na powiązania, spokojnie można uznać te niby opowiadania za kolejne rozdziały powieści.

Disclaimer po rozmowie ze znajomymi: nie zwracałbym większej uwagi na krótkie opisy traktujące o alternatywnej historii w religii. Tzn. to jak najbardziej ma miejsce, ale – przynajmniej z tego co dotychczas czytałem – jest bardziej tłem zdarzeń, nie ich osią.

Jestem po lekturze tomu pierwszego[2] i wyrażam umiarkowany zachwyt. Intryga zgrabnie się rozwija, jeśli w kolejnych tomach będzie utrzymany poziom, to gdzie jest serial, ja się pytam? Bo z tego co do tej pory poznałem, to aż się prosi o ekranizację.

I jeszcze taka zabawna sytuacja. W polu wyszukiwania w Empik Go wpisałem płomień i krzyż, wybrałem tom drugi z podpowiedzi, zatwierdziłem wyszukanie i ujrzałem coś takiego:

Wyszukanie płomień i krzyż tom 2 w Empik Go - screenshot
Wyszukiwanie tomu II w Empik Go, smartfon Android

Pytania konkursowe (nagród nie przewiduję, ale konkurs może być, prawda?):

  1. Co kryją poszczególne pozycje?
  2. Którą z pozycji należy wybrać, aby otworzyć wyszukiwany tom 2?
  3. Co się stanie po zmianie położenia smartfona z prezentowanego na poziome?

Rozwiązanie za jakiś tydzień w formie aktualizacji wpisu. Podpowiem tylko, że kto w IT pracuje, ten w cyrku się nie śmieje.

UPDATE Pora na nieco spóźnione rozwiązanie zagadki.

  1. Są to kolejne trzy tomy cyklu. Skoro wyszukuję tom 2 to pewnie jestem zainteresowany także 1 i 3. Logiczne.
  2. Nie wiem. Trzeba próbować. Ale jest pozytyw: po powrocie pozycje się nie zmieniają, więc czekają nas najwyżej trzy próby.
  3. Nic. Skoro se user przechyla smartfona, to chce oglądać ekran bokiem, a ustawienia systemowe kłamią. Oczywiste.

[1] Świta mi, że wtedy było 40 zł. Nieistotne w sumie, historii płatności sprawdzać nie będę.
[2] Przynajmniej wg Biblionetki bo wg Wikipedii wygląda nieco inaczej. W każdym razie niczego nie brakuje i wszystko się spina.

UPDATE Jakoś rok później dotarłem do końca, przynajmniej istniejących pozycji. Czyli przeczytałem Przeklęte przeznaczenie. Jak miałem wrażenie w pewnym momencie, że robi się nieco wtórnie, tak ta pozycja mi się bardzo podobała. Z posłowia można dowiedzieć się, że powstaje gra oraz coś filmowego się dzieje. I bardzo to cieszy.