多要素認証を私物スマホでやっていいのか問題
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
Google Authenticatorのバックアップ機能はE2E暗号化されておらず重大なセキュリティリスクにさらされる可能性が高いことが判明
ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices. TL;DR: Don't turn it on. The new update allows users to sign in with their Google Account and
「Google認証システム」がアカウント同期に 機種変が気楽に
米Googleは4月24日(現地時間)、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)をアップデートし、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにしたと発表した。これで端末を紛失してもロックアウトされることがなくなり、機種変更時の移行作業も不要になる。 Google認証システムは2010年にリリースされた、サービスやアプリへの2要素認証(2FA)によるログインで利用できるアプリ。AndroidだけでなくiOS版もあり、TwitterやFacebookなど多数のサービスで利用できる。 これまではワンタイムコードを1つの端末にしか保存できなかったため、その端末を紛失したり盗難されたりすると、このアプリを使って2FAを設定したサービスやアプリにログインできなくなっていた。 既にこのアプリを使って
IDaaSで一歩進んだWebAuthn活用を~WebAuthnがおすすめな理由 #3~ | LAC WATCH
Webアプリケーションにおける認証に、WebAuthnをおすすめする連載の第三回です。 最終回の今回は、WebAuthnを導入する際に考慮すべきことと、それらをまとめて解決できる手段についてご説明します。 WebAuthn導入時に考慮すべきこと これまでの連載をご覧いただいた方の中で、提供中のサービスのプラットフォームがデフォルトの状態でWebAuthnをサポートしているのかと、開発ベンダーに確認したくなった方もいるのではないでしょうか。確認した結果、サポートしていれば一安心です。デフォルトではサポートしていないとの回答だとしても、WebAuthnのためのライブラリや、各種Webアプリケーション用フレームワークのプラグインなどもあるようなので、それらを利用することによりWebAuthnを提供中のサービスに組み込むことも不可能ではないと思います。 しかし、WebAuthnを導入する際に考慮し
2要素認証のショートメールを要求しまくるボットのせいでTwitterは年間80億円も失っていた
by NASA Kennedy 2023年2月15日、Twitterがショートメッセージサービス(SMS)を使った2要素認証設定を同年3月20日以降に有料化する方針を明らかにしました。これまで無料で使えていたものが有料になるということで一部ユーザーに混乱をもたらしましたが、有料化となる理由の1つに「悪質なボットの台頭」があることをTwitterのCEOであるイーロン・マスク氏が伝えました。 Elon Musk Says Twitter Lost $60mn a Year Because 390 Telcos Used Bot Accounts to Pump A2P SMS | Commsrisk https://commsrisk.com/elon-musk-says-twitter-lost-60mn-a-year-because-390-telcos-used-bot-account
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(3/3 ページ) 「ソフトウェアトークン」と「ハードウェアトークン」 都市銀行のインターネットバンキングでよく利用されているワンタイムパスワードが「ソフトウェアトークン」と「ハードウェアトークン」です。いずれもスマホアプリや機器上に、一定の時間経過(大抵は30秒ごと)で変化していく、その時しか使えないワンタイムパスワード(数列)が表示され、それを入力することで認証する仕組みです。 ワンタイムパスワードを表示する媒体がスマホアプリだと「ソフトウェアトークン」、専用のカード型・キーホルダー型・電卓型の機器だと「ハードウェアトークン」と呼びます。 三菱UFJ銀行「ワンタイムパスワード」 三井住友銀行「パスワードカードについて」 みずほ銀行「ワンタイムパスワード」 りそな銀行「ワンタイムパスワー
スマホを壊してGoogle製二要素認証アプリのバックアップコードが生成不能になったという体験談、バックアップ方法はこれ
ワンタイムパスワードを用いた二要素認証は、ウェブサービス利用時のセキュリティ向上に役立ちます。しかし、Google製ワンタイムパスワード発行アプリ「Google認証システム(Google Authenticator)」の利用者からは「スマートフォンを壊した結果、Google Authenticatorのバックアップコード再発行が不可能になった」という報告が寄せられています。 Tell HN: It is impossible to disable Google 2FA using backup codes | Hacker News https://news.ycombinator.com/item?id=34441697 Google Authenticatorは、各種ウェブサービスにログインするためのワンタイムパスワードを発行するアプリです。例えば、以下はDiscordにログインする際
はじめての WebAuthn | Google for Developers
これらのオプションについて詳しく調べるには、 WebAuthnの公式仕様をご覧ください。 サーバーから返ってくるオプションの例を下記に示します。 { "rp": { "name": "WebAuthn Codelab", "id": "webauthn-codelab.glitch.me" }, "user": { "displayName": "User Name", "id": "...", "name": "test" }, "challenge": "...", "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ], "timeout": 1800000, "attestation": "none", "excludeCredentials
パスワード管理/MFA管理の戦略
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
色々な意味でザルな議員さん用JR乗り放題パス
訪日外国人向けのJRパスも、この2年の間に、それぞれのきっぷと予約状況が紐付けられたから、議員さんのパスでもできるはずですよ、って話
Salesforce MFA 必須化に備える | YubiOn
2022/06/15 記事更新 SalesfoceのWebAuthn (FIDO2) 対応により、FIDO2対応セキュリティキーによる登録、認証方法を追加しました。 FIDO2対応キーの設定や初期化方法についてはこちらを参照ください。 2022/06/12 SalesforceのSummer'22バージョンの適用により、 WebAuthn (FIDO2)セキュリティキーをサポートするようになりました。この変更によりユーザはID検証用にWebAuthn (FIDO2)またはU2Fセキュリティキーを登録できます。以前にFIDO U2Fとして登録したキーがある場合は、Summer'22の適用により、FIDO2としての認証シーケンス(PIN)が求められる場合があります。 Salesforce をご利用の皆様、MFA (多要素認証) 対応はお済みでしょうか? 2022年2月1日以降 Salesf
二要素認証と二段階認証の違いを理解していますか? | サイバーセキュリティ情報局
インターネット上の会員制サイトなどにおける個人認証では、パスワードを用いる方法が一般的だ。しかし、最近ではパスワードによる認証だけでは安全性の担保が難しくなりつつある。そこで、新しい認証方式として広がってきているのが二要素認証や二段階認証と呼ばれる認証だ。この記事では、二要素認証、二段階認証の認証方法それぞれの概要や違い、そして認証強度を上げるためのヒントまで解説する。 認証のための3要素 大手金融機関が提供する金融サービスで不正に金銭が引き出されるなど、攻撃者が不正ログインを行うリスクがかつてなく高まっている。その際に原因の一つと言われているのが認証の脆弱さだ。認証において多用される、パスワードの安全性の根拠は、文字列の組み合わせが多数あるという点だ。例えば、英数字4桁(英字の大小区別なし)のパスワードだと、以下のように約168万通りの組み合わせから一つ選択するものとなる。 約168万通
HTML属性を使い、ユーザーに優しい2要素認証を実現する方法
製品 コミュニケーション メッセージング マルチチャネルのテキストメッセージとメディアメッセージの送受信を180か国以上で
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 | DevelopersIO
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 FreeRADIUSを使って、Microsoft ADで認証するClientVPNの環境にMFAを導入してみました。Microsoft ADを使ったMFAの事例が少なかったので少しハマりました。 ClientVPNでは、ユーザーに対して多要素認証(MFA)を利用することができます。 今回は、MFAを使うために必要なRADIUSサーバを、FreeRADIUSで構築してみたいと思います。 構築手順としては、下記の情報を元にしています。こちらは古いAmazon Linuxを使っているため、今回はAmazon Linux2で作成しています。 また、下記では「WorkSpaces Connect」(現在のAD Connector)を使っていますが、今回はMicros
【AzureAD】servicenowの条件付きアクセスを設定してみた - Qiita
ServicenowでSSO連携したので、条件付きアクセスを設定してみました。 SSOの設定は以下を参考にさせていただきました Azure AD と ServiceNow を SAML 連携し、シングル サインオンとユーザー プロビジョニングができるまでの環境を一から構成する 条件付きアクセスの設定 まずユーザーを割り当てます。 クラウドアプリにServicenowを追加します。 対象デバイスプラットフォームは以下に設定しました。 場所はすべてに設定し、自宅のグローバルIPアドレスのみ対象外とします クライアントアプリ アクセス許可はintuneに準拠にしています これで自社のIPアドレス(社内のIP)以外はintuneに準拠(登録)していないと アクセスできなくなったはずですので早速iphoneで検証してみます。 検証 検証1 iphone:Microsoftedgeからのアクセス UR
Linuxサーバーへのログインを2段階認証にしてみた - ニフクラ ブログ
こんにちは、ニフクラテクニカルアカウントチームです。 ニフクラではコントロールパネルへのログイン時の方法として「ニフクラID」とは別に「パターン認証」サービスを提供していることはご存知でしょうか。 認証をMFA(多要素認証)にすることが可能で、セキュリティの強化を実現できます。 一方、ニフクラサーバー(Linux)への主なログイン方法としては、SSHキーを使用した公開鍵認証になります。 今回の検証では、Linuxサーバーにサードパーティ製のツール(google-authenticator)を導入し、サーバーログイン時(SSH接続)の認証を2段階にしました。 (公開鍵認証 + チャレンジレスポンス認証) 以降、認証設定からサーバーログインまでをご紹介します。 前提条件 検証概要 利用リソース 検証内容 リソース作成 (ニフクラ) (1) SSHキーの作成 (2) ファイアウォールグループの作
RADIUS と Azure MFA Server - Microsoft Entra ID
RADIUS は、認証要求を承認してそれらの要求を処理する標準のプロトコルです。 Azure Multi-Factor Authentication Server は RADIUS サーバーとして機能します。 これを RADIUS クライアント (VPN アプライアンス) と認証対象の間に置くことで 2 段階認証が追加されます。 この場合、認証ターゲットは、Active Directory や LDAP ディレクトリ、別の RADIUS サーバーなどになります。 Azure 多要素認証が機能するには、Azure MFA Server を、クライアント サーバーおよび認証ターゲットの両方と通信できるように構成する必要があります。 Azure MFA Server は RADIUS クライアントから要求を受け取り、認証ターゲットに対して資格情報を検証し、Azure 多要素認証を追加して、RAD
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【RaspberryPi】Proxy サーバを Google Authenticator 連携して多要素認証してみた|kTech123
DevCentral: An F5 Technical Community
ソフトウェア2段階認証
