LemonLDAP::NG 2.21 is out!

This new release includes improvements on OpenID Connect and CAS protocols, Loki logger, public notifications and much more.

Read our release notes: https://projects.ow2.org/view/lemonldap-ng/lemonldap-ng-2-21-0-is-out/

@ow2 @worteks_com

I'd love if there was a website like https://www.passkeys.io/who-supports-passkeys which showed which websites also support *non-resident* #FIDO2 authentication as opposed to resident #Passkey. Let's reward sites that have that support!

#TroyHunt fell for a #phishing attack on his mailinglist members: https://www.troyhunt.com/a-sneaky-phish-just-grabbed-my-mailchimp-mailing-list/

Some of the ingredients: #Outlook and its habit of hiding important information from the user and missing #2FA which is phishing-resistant.

Use #FIDO2 with hardware tokens if possible (#Passkeys without FIDO2 HW tokens are NOT phishing-resistant due to the possibility of being able to trick users with credential transfers: https://arxiv.org/abs/2501.07380) and avoid Outlook (or #Microsoft) whenever possible.

Further learning: it could happen to the best of us! Don't be ashamed, try to minimize risks and be open about your mistakes.

Note: any 2FA is better than no 2FA at all.

Google Cloud (ex. Mandiant): https://cloud.google.com/blog/topics/threat-intelligence/session-stealing-browser-in-the-middle/

Mandiant details in this article Browser-in-the-Middle (BitM) attacks, a sophisticated session stealing technique that bypasses multi-factor authentication. Unlike traditional transparent proxies like Evilginx2 that require extensive customization, BitM offers attackers a streamlined approach to compromise web application sessions with minimal configuration. The article describes Mandiant's internal tool 'Delusion' for performing BitM attacks and demonstrates how attackers can steal authenticated sessions even when protected by MFA. The authors recommend implementing hardware-based MFA solutions like FIDO2 security keys and client certificates as effective countermeasures against these attacks.

To anyone who is familiar with #ios #iphone multi device management #mdm
Could one prepare a recent iPhone via MDM in a way that it can register a software #passkey either in the icloud keychain or preferrably in a #keepass DB via eg. KeePassium?

The iPhones, MDM and #FIDO2 RP would all be under our control.

#RfC Ich habe für die Registrierung eines #fido2 #passkey ein PlantUML Sequenzdiagramm erstellt. Falls dazu jemand Verbesserungsvorschläge hat, immer her damit.
Die PUML kann ich bei Bedarf irgendwohin werfen.

Ist das jetzt schon Hoarding oder eine angemessene #Backup Strategie? Auf jeden Fall ein Haufen #fido2 #passkey Token

Mehr dazu in meinem Vortrag auf den CLT @clt_news https://chemnitzer.linux-tage.de/2025/de/programm/beitrag/188

People who use hardware security keys: Storing them in geographically diverse locations is a wise move but makes it impossible to quickly onboard. How do you keep track of where you’ve registered each key? A checklist in a spreadsheet is obvious but cumbersome. Is there a better way? (Yes I use passkeys extensively but for certain services like email, iCloud, and my password manager, a hardware option is desirable if not mandatory.) #YubiKey #YubiKeys #FIDO #FIDO2 #FIDOKey #FIDOKeys #Security

So #evilginx is a MITM attack that is used to steal login credentials and highjack the session cookie. How can this be mitigated outside of providing users with a physical token? #MFA #MITM #FIDO2

Auf den #clt werde ich einen Vortrag zu passwortlosen Logins mit #PassKey halten. Insbesondere zu den Gefahren des Lock Ins in eine Hersteller-Cloud, zu Hardware Tokens und natürlich zur #Kryptographie dahinter

https://chemnitzer.linux-tage.de/2025/de/programm/beitrag/188

Alles, was man wissen muss in vier Zeilen?
JemandSchnapptExistierendeTechnologieUndBrandetSie S8E23?
Was haben Mama und Papa dir über die Leute aus dem Marketing gesagt???
#passkey #FIDO2 #marketing

Okay... ein besonderes Teil, möchte ich Euch auch noch anbieten, denn #nocciverkauftdinge

Heute kann ich Euch eine limitierte Edition des SoloKeys v2
NFC anbieten.
Limitiert, weil es sich um eine spezielle Produktion handelt, die Glitzer im Epoxy hat. (siehe Video) ​​ ... und außerdem in einem gewagten Lila daher kommt.

#Glitzer Leute, Glitzer und Sicherheit für Euren Passwortsafe, Webanwendungen (Webauthn), Fido2 und so weiter... mit ein wenig Arbeit kann man sich sogar so an seinem Laptop anmelden (hatte ich mal)

Das Ding ist noch original verpackt und enthält neben dem USB Key, den man übrigens nie verkehrt einstecken kann (wow!), noch zwei Überzieher. ​​

Okay... der hat mich mal so knapp 60€ gekostet und wenn ich 45€ inkl. Versand (Ein Maxibrief als Einschreiben) bekommen kann, dann wäre ich mehr als Dankbar.

Gerne wieder ​​ Danke!

#solokey #fido2 #webauthn

This is the way I config PAM to authenticate with my USB keys in NetBSD.

I type a password to decrypt the disk, and that's it.

No passwords to log-in, unlock the screen or run doas. Only the key.

https://vsis.online/posts/2025-01-14-pam-u2f/