パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
パスキーとID連携の認証フローの共通点から見る認証技術の基本
ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとして、あらゆるところを簡略化したシーケンスを用意しました。 ID連携、いわゆるソーシャルログインでは次のようになります。 登場人物をUserAgent、RP、IdPとするとこんな感じでしょう。 もちろん細かいところは違うわけですが、全体の流れは似ています。 WebAuthnのchallenge, OIDCのnonce, state 先ほどのシーケンス、たまたま似ていると言うよりも、これは認証フローにおける基本の流れであると意識しておきましょう。 パスキーやID連携の
Firefox Monitor
Find out if your personal information has been compromisedStay safe with privacy tools from the makers of Firefox that protect you from hackers and companies that publish and sell your personal information. We’ll alert you of any known data breaches, find and remove your exposed info and continually watch for new exposures. Email addressCheck for breaches Why use Firefox Monitor?Identifying an
【雑記】セキュリティガイドライン類 約300時間 読み漁ってみた - 2LoD.sec
23年3月末から勉強時間をガイドライン類の読み込み&ブログ執筆にあてて7カ月が経ちました。 特に良い区切りでもないのですが、ここらで一度振り返りたいと思います。 なんで読み始めたの? どれだけ何を読んだの? 色々読んでどうだった? 1. 自分の発言に根拠と自信を持てる 2. 未経験の技術テーマでも取り扱いやすくなる 3.トレンドやビッグテーマが分かる おすすめのガイドライン類は? なんで読み始めたの? 今更の自己紹介ですが、私は所属組織の中で3 Line of Defenseにおける2nd Lineにおり、セキュリティの戦略立案、強化施策の推進、あるいは新しい技術を利用する際のルール作りを主に担っています。 プログラム開発、サーバ、ネットワーク、クラウド、API、コンテナ、AI、様々な技術テーマがある中で、そのすべてにセキュリティは強く関わります。そして、セキュリティ担当は、現場から上記の
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
第751回 イマドキのVPSでUbuntuをセキュアに保つ | gihyo.jp
今回はイマドキのVPSであるKAGOYA CLOUD VPSにUbuntuをセットアップし、セキュアに運用する方法を紹介します。とはいえ他のVPSサービスにもそのまま利用できます。 VPS放浪記 筆者は諸般の事情でKAGOYA CLOUD VPSを借りることにしました。 主に動作させるのはNextcloudサーバーです。一般的なVPSサービスのストレージ容量は(プランにもよりますが)100GB程度で、少なく感じていました。しかしKAGOYA CLOUD VPSは大容量プランと称して200GBや400GBのストレージが割安で使用できます。これはいいなと思って契約しました。 筆者が使用したことのあるVPSサービスはこれで3社目ですが、いずれもOSテンプレートとして最新のUbuntu LTS(今だと22.04 LTS)が用意されています。Ubuntu使いとしてはこれを選択するわけですが、3社とも
第778回 Nextcloud Passwordsでログイン情報の記憶をアウトソーシング | gihyo.jp
今回はWebサイトのログイン情報をNextcloudに記憶させる方法を紹介します。 ログイン情報は覚えない 先日、とあるSNSが個人情報を流出させるという事件がありました。それ自体は大変残念なことにしばしば起こっていることですが、個人情報に含まれるパスワードのうち約半数が平文で保存されていたとのことです。 通常パスワードは何らかの方法でハッシュ化されて保存するのがセオリーのはずですが、ユーザーとしてはパスワードの保存方法なんて知る余地がありません。流出した個人情報が販売されたという事実もあるようで、購入した人は当然倫理観なんてあるわけがないのでログインユーザー名とパスワードで他のサービスへのログインを試みるわけです。ログインに成功してクレジットカードの情報が登録されていたりすると、それはもう酷いことになることが容易に予想できます。 このことからわかることは、パスワードは使い回されることが多
NISCと気象庁が使用していたメール関連機器へのサイバー攻撃についてまとめてみた - piyolog
2023年8月4日、内閣サイバーセキュリティセンター(NISC)と気象庁はそれぞれ電子メール関連のシステム・機器から不正通信の痕跡が確認され、メールデータの一部が外部に流出した可能性があると公表しました。ここでは関連する情報をまとめます。 政府組織に対しゼロデイ攻撃 NISCと気象庁及び気象研究所、国立科学博物館、教職員支援機構が各々運用を行っていた電子メール関連システム・機器に脆弱性が存在しており、その脆弱性に関連した不正通信が確認された。 今回確認された不正通信により、メールデータの一部が外部に流出した可能性がある。両組織ではメールアドレス等の個人情報が漏えいした可能性を排除できないとして個人情報保護委員会に報告した他、対象者にも個別に連絡を行う。公表時点では流出可能性のある情報の悪用は確認されていないが、NISCでは約5,000件の個人情報が対象に含まれており、流出可能性のある事案が
Dockerはなぜサイバー攻撃者に狙われやすいのか?
Check Point Software Technologiesはこのほど、「Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog」において、Dockerイメージの危険性について伝えた。Dockerイメージには構築と使用に特有の脆弱性があることから、攻撃者の格好の標的となってしまっている。同社は既知の脆弱性を含む基礎コンポーネントの使用、クラウド環境の動的な性質、簡単な配布方法によって、セキュリティインシデントが引き起こされていると指摘している。 Docker Images: Why are Many Cyber Attacks Originating Here? - Check Point Blog Dockerイメージは攻撃者にとって好ましいターゲットの一つとなっている。一般的にさ
JSON Web Token - Wikipedia
JSON Web Token(ジェイソン・ウェブ・トークン)は、JSONデータに署名や暗号化を施す方法を定めたオープン標準 (RFC 7519) である。略称はJWT。 概要[編集] JWTでは、トークン内に任意の情報(クレーム)を保持することが可能であり、例えばサーバーはクライアントに対して「管理者としてログイン済」という情報を含んだトークンを生成することができる。クライアントはそのトークンを、自身が管理者としてログイン済であることの証明に使用することができる。トークンは当事者の一方(通常はサーバー)または両方(もう一方は公開鍵を提供する)の秘密鍵により署名されており、発行されたトークンが正規のものか確認することができる。 JWTのトークンはコンパクトな設計となっており[1]、またURLセーフであり[2]、特にウェブブラウザでシングルサインオン (SSO) を行う場合に使いやすくなってい
河野大臣 マイナカード「番号知られても悪用されることはありません」 ICには名前住所・生年月日・性別・顔写真だけと(デイリースポーツ) - Yahoo!ニュース
河野太郎デジタル相が30日、フジテレビ「めざまし8」に生出演。トラブル続発や使用に不安の声があがっているマイナンバーカードについて、理解を求めた。 【写真】超大物タレント「本日マイナカード返納しました」 河野大臣は「誤解があって、ICチップに医療情報とか税金の情報が入っていて怖いという方がいらっしゃるんですが」としたうえで、「ICチップに入っているのは、名前と住所、生年月日と性別、それとご自身の顔写真だけ」と語った。 医療情報などが漏洩することは「ありません」とした。 またマイナンバーを他人に伝える、知られる不安については「必要ない方には伝えない、必要ないときには聞かないのがルールだが、ナンバーそのものが他人に知られたからと言って、それで悪用されることはありません」と述べた。 「銀行の口座番号と同じで番号を知られたからと言って別にお金が抜き取られるわけではありません」とした。 「銀行のキャ
WebサイトのログインにPasskeyを追加できる新サービス「Passwordless.dev」、Bitwardenが正式公開。月間1万ユーザーまで無料
オープンソースのパスワードマネージャ「Bitwarden」などを提供しているBitwarden,Inc.は、Webサイトのログイン機能にPasskeyを簡単に追加できる新サービス「Passwordless.dev」の正式公開を発表しました。 WebサイトをPasskey対応にすることで、ユーザーはパスワードを覚えておく必要がなくなると同時に、指紋認証などの手軽な手段でWebサイトにログイン可能になります。さらに、サーバ側でのパスワード流出や、ユーザー側での偽サイトに誘導されるフィッシングなどのリスクがほとんどなくなるというセキュリティ面での大きなメリットもあります。 一方で、WebサイトをPasskey対応にするには、ログインに関わる認証のロジックを従来のIDとパスワードの組み合わせに加えて、Passkey対応を追加しなければなりません。 今回正式公開されたPasswordless.dev
第77回 Ubuntuのソフトウェアファイアウォール:ufwの利用(2) | gihyo.jp
先週に引き続き、今回もufwを使いこなすためのレシピを紹介します。今回は実践編となりますので、先週の基礎操作編とあわせて利用してください。 特定のIPアドレスからの接続を許可する ネットワークの構成上、「このIPアドレスからの接続は安全であると仮定してもいい」(そこには自分が普段使うマシンしかない)といったこともあるでしょう。このような場合は、次の構文を用います。 $ sudo ufw allow from 192.168.254.0/24 この設定は、「192.168.254.*に属するホストからのすべての通信を許す」というものです。個別のホスト単位にしたい場合は、次のようにIPアドレスを指定してください。以下では、192.168.254.10からのすべての通信を受け付けるように設定しています。 $ sudo ufw allow from 192.168.254.10 さらに、以下
SSH 秘密鍵ファイルの保護の強度気にしてますか?あるいは ssh-keygen の -a (rounds) オプションを調べた話 - Qiita
SSH 秘密鍵ファイルの保護の強度気にしてますか?あるいは ssh-keygen の -a (rounds) オプションを調べた話SSH 疑問 ssh-keygen コマンドで秘密鍵を生成するとき、 ssh-keygen -t ed25519 -a 128 のように -a オプションで rounds を指定できる。デフォルト値は16になっている。 rounds とは何だろうか?どうも秘密鍵ファイルの保護の強度に影響するようだが。 TL;DR: 結論までジャンプ ドキュメントを読む man ssh-keygen を引用すると、 When saving a private key, this option specifies the number of KDF (key derivation function, currently bcrypt_pbkdf(3)) rounds used. H
GPGで主鍵と副鍵を作成する - Carpe Diem
背景 Yubikeyを新しくしたのでGPGの運用もYubikeyに寄せようと思ったのがきっかけです。 環境 GPG 2.2.32 前提知識 主鍵と副鍵 GPGには主鍵と副鍵の関係があります。またそれぞれ秘密鍵と公開鍵のペアになっています。 これは鍵が漏洩した際にローテーションしやすくするための仕組みです。 主鍵の秘密鍵は副鍵を生成したら基本的にPCなどのデバイスからは削除し、必要な時以外は紙やUSBなどでインターネットから隔離して管理しておくのが安全です。 鍵の種類 鍵には以下の4つの役割があります。 Certify(証明) Sign(署名) Authenticate(認証) Encrypt(暗号化) 主鍵は自動的にCertifyが付きますが、それ以外は組み合わせは自由です。 Certify以外を全て副鍵で管理したケース よく見る設計はこのパターンです。 今回はこちらのパターンで作成します
暗号鍵管理ガイドライン | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
実際の暗号システムがセキュアに動作し続けるためには、暗号アルゴリズム自体がセキュアであるだけでは不十分で、データが保護される期間中、その暗号アルゴリズムが使用する暗号鍵もセキュアに管理されている必要があります。そのため、暗号鍵やデータのライフサイクルを踏まえた運用、安全な暗号鍵の保管、暗号鍵危殆化時の対策などを行う上で参考となるガイドラインを取りまとめています。 「暗号鍵管理システム設計指針(基本編)」の内容 「暗号鍵管理システム設計指針(基本編)」は、あらゆる分野・あらゆる領域の全ての暗号鍵管理システムを対象に、暗号鍵管理を安全に行うための構築・運用・役割・責任等に関する対応方針として考慮すべき事項を網羅的に提供し、設計時に考慮すべきトピックス及び設計書等に明示的に記載する要求事項を取りまとめたガイドラインとして作成されたものです。 具体的には、暗号鍵管理の必要性を認識してもらうために「
Googleアカウント「パスキー」導入!パスワードの終わりが始まる
Google、新サインイン方式「パスキー(Passkey)」の Google アカウントサポート開始 「2 段階認証プロセス」に対する別オプションとして「パスキー」を設定可能に パスワードの終わりが始まる Google は 2023 年 5 月 3 日(水)、ちょうど一年前の 2022 年 5 月にオンライン認証技術標準化団体 FIDO Alliance や、Apple、Microsoft と共に発表していた、パスワード不要新規格「FIDO 認証(FIDO2)」を用いた新しいサインイン方式「パスキー(Passkey)」の、Google アカウントにおけるサポート開始を発表しました。 「パスキー」は昨年 2022 年 10 月よりベータ版として、Android と Chrome に提供開始済み。日本国内でも、NTT ドコモの共通 ID サービス「d アカウント」における新しいサインイン認証と
マイナカード「ほぼ全国民」普及も使う機会なし、デジタル本人確認の民間利用を阻む壁
2023年3月末、マイナンバーカードの申請件数は約9614万枚と人口の約76.3%に達した。政府は3月末までに「ほぼ全ての国民」への普及を目指すとしてきたが、松本剛明総務相は2023年4月4日の記者会見で「ほぼ全ての国民に行き渡らせる水準までは到達したと考えている」と表明した。 「持っていても使わない」と言われることが多かったマイナンバーカード。「ほぼ全ての国民」に行き渡ることで、「便利なカード」に進化することがますます求められるようになった。そのための鍵がマイナンバーカードの機能である「公的個人認証サービス(JPKI)」を使ったデジタル本人確認の民間サービスでの利用である。ただ、現状では多くの人が日常で使う機会はほとんどない。民間利用を後押しするためのルールが未整備なことが壁となっている。 民間サービスでのデジタル本人確認の普及に期待 「マイナンバーカードを使った本人確認を行政だけでなく
家庭向けルーター不正利用を受けた警視庁の注意喚起についてまとめてみた - piyolog
2023年3月28日、警視庁は家庭向けルーターを悪用した事件が発生しているとして、利用者に対して対策を推奨する注意喚起を行いました。ここでは関連する情報をまとめます。 サイバー攻撃の踏み台悪用受け注意喚起 注意喚起を行ったのは警視庁公安部 サイバー攻撃対策センター。 サイバー攻撃事案の捜査を行っていた中で確認された手口をうけ、従前から対応が呼び掛けられている対策方法だけで十分な対応が行えないと判断したことから新しい対応方法として、定期的な設定内容の確認を行うとする呼びかけがルーターのメーカーや関連団体を含めて行われた。 2023年3月28日 家庭用ルーターの不正利用に関する注意喚起 2023年3月28日 Wi-Fi(無線LAN)ルーターをお使いの方へ 【サイバー攻撃対策センター】 家庭用ルーターがサイバー攻撃に悪用される事案が発生しています。 サイバー攻撃対策センターは、複数の関係メーカー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - 99designs/aws-vault: A vault for securely storing and accessing AWS credentials in development environments
