世界の電子認証基準が変わる:NIST SP800-63-3を読み解く
2017年6月に、米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン、以下『本ガイドライン』と略)」の最新版である「NIST SP 800-63-3」を発表しました。 本ガイドラインが世界の電子認証にどのような影響を及ぼすのか、特にパスワードと関連が多い部分に特化して解説します。 NIST SP800-63-3の位置づけ NISTは、アメリカ政府(商務省)傘下にある国営の研究所です。本ガイドラインは「現在の技術的動向を踏まえたうえで、アメリカ政府はこのような電子認証を取り入れるべき」というアメリカ政府向けの報告・提言という位置づけになります。この報告書を受けて、アメリカ政府はあらゆる電子認証に関するシステムを徐々に更新することで、不正アクセスや攻撃などの脅威から政府のデータを守り
Smoozサービス終了に寄せて
202012_smooz.md Smoozサービス終了に寄せて 前置き この文章と、それに含まれる考察や各サービスへの脆弱性報告などはmala個人の活動であり、所属している企業とは関係ありません。 一方で私は、企業が閲覧履歴を収集して何をしたいのか、所属してる企業や他社事例について、ある程度詳しい当事者でもあります。 一般論として書けることは書けるが、(業務上知り得た知識で開示されてないものなど)個別具体的なことは書けないこともあり、また観測範囲に偏りがある可能性もあります。 Smoozに報告した脆弱性2件 最近、Smoozというスマホ向けのブラウザアプリに2件脆弱性の報告をした。 この記事を書いている時点で、Smoozの配布が停止されていて、修正バージョンの入手が出来ない。 2件目についてはまだ返事が来ていない。 脆弱性情報の開示にあたって特段の許可は得ていないが、開発元からも利用停止す
大炎上のセブンペイ問題でわかった、日本企業の「深刻なリスク」 - まぐまぐニュース!
7月1日にサービスが開始されるや不正アクセスの被害が相次ぎ、わずか3日で新規登録やすべてのチャージサービスが停止となった7pay。セブンイレブンが社運をかけて臨んだはずの同サービスは、なぜこのような「憂き目」を見る状況となってしまったのでしょうか。米国在住の作家・冷泉彰彦さんは自身のメルマガ『冷泉彰彦のプリンストン通信』で、スキルのない人間がトップに立てる日本企業の制度に問題があるとして、その理由を記しています。 トホホな「7pay」騒動、スキルのないトップはオワコン 鳴り物入りでスタートしたにも関わらず、直後に巨額の不正利用事件を起こしてしまい、大コケになってしまった格好の「7pay」ですが、具体的には何が悪かったのでしょうか? 勿論、生年月日入力が必須でなく、空欄にしておくと一律のバリューを自動設定してくるとか、登録アドレスに一旦メールを返す軽度の「2段階認証」もしていない、スマホの特
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
