偽の ID (識別子) のアンチパターン
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
DiscourseをSAML認証で使えるようにする
認証サーバーをインストール 認証サーバーとしてKeycloakに挑戦してみようかと。後々色々活用できそうな予感満点。 Keycloakのインストール いつもの通りがっつりインストール…とも考えたんだけれど、ソースからコンパイルする形になっていて目的達成に時間が掛かりそう。 KEYCLOAK / Downloads Medium / Setup Keycloak Server on Ubuntu 18.04 DiscourseがDockerで動いているので、これもDockerで動かしてみようかと考えた。 KEYCLOAK / Keycloak on Docker Dockerイメージのインストール コマンド一発。初期ユーザーとしてuser:admin / password:admin を指定。 確かに楽だけど、どこに何があるのかサパーリ分からん。 $ sudo docker run -p 8
FreeRADIUSとActiveDirectory(成功編) - rougeref’s diary
FreeRADIUSの認証をActiveDirectoryに任せる。OpenLDAPへ認証を流す方法はすでにやったことがあって、ここにも書いたことがある。ActiveDirectoryってLDAPがお喋りできるよなぁとすこし調べたんですが、どうも期待するスキーマをもっていないようなのでLDAPでの連携は断念。Sambaを中間にいれてActiveDirectoryの認証をFreeRADIUSから利用することができました。 Sambaの設定 まずはSambaの設定。SambaとActiveDirectoryの連携はウェブ上にも情報があるし、文献も豊富なのでさらっと。 smb.confを設定 ドメイン名:MYDOMAIN、ActiveDirectoryが動作している機器のアドレスを10.1.100.1とすると、smb.confはこんな。 [global] dos charset = CP932
パスワードってどこにあるの?その1 | MBSD Blog
筆者はペネトレーションテストなどを担当しており、お客様が利用されているシステムや端末などにセキュリティ上の問題があるか調査します。業務の中でよくWindowsに認証情報などが残存していないかくまなく調べますが、特定の条件を除き、利用されているアカウントの生のパスワードはWindows上には保存されていません。では、Windowsはどうやって認証情報をチェックするのでしょうか。Windows内部やActive Directoryでのパスワードの管理などについて、2回にわけてご紹介したいと思います。今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。 Windowsはアカウント名とパスワードによる認証以外にもバージョンによってスマートカードなどの多要素認証もサポートしています。また、アカウント名とパスワードによる認証もActi
サイバー攻撃対策施した商品に認証マーク発行へ 来年4月から | NHKニュース
サイバー攻撃が大規模化・巧妙化し、インターネット家電などが攻撃に悪用されるリスクが高まっていることから、メーカーなどで作る団体は、来年4月から国内で初めて、一定の安全対策を施した製品に認証マークを発行することを決めました。 インターネットにつながる家電などはIoT機器と呼ばれ、急速に普及していますが、セキュリティー対策が不十分なものも多く、サイバー攻撃に悪用されるリスクも高まっていると指摘されています。 このため、協議会では、製品を使い始める際に初期設定のIDやパスワードの変更を促すことや、最新の規格の無線LANに対応することなど、IoT機器に求められる11項目の安全基準を挙げ、これらを満たした製品に認証マークを発行することになりました。 来月から認証マークのデザインを公募したうえで、来年4月に住宅向けの電化製品など10から15社の製品でスタートし、その後、さまざまな分野に広げていきたいと
IDとパスワードに頼る認証は、もう破綻している
不正アクセス被害のプレスリリースで次のような表現を見るたびに、何ともいえない違和感を覚えてしまう。 「他社サービスにおけるパスワードの使いまわしではない、まったく別のパスワードの再設定をお願いします---」 いや、言いたいことは良く分かる。ユーザーの自衛策として、パスワードの使い回しを避けた方がいいのはその通りだし、その事実をユーザーに啓発することには意味がある。 だが、私が天の邪鬼だからか、記者の職業病ゆえか…この表現には、ユーザーへの責任転嫁のような意図を感じてしまうのだ。 以前の「記者の眼」にも書いたが、インターネットユーザーが「確実に記憶できる」と考えているパスワードの数は、平均で3個ほどだという。「パスワードの使い回しを避けて下さい」というお願いは、実のところ、大半のユーザーには不可能な注文なのだ(関連記事:いくつもの暗証番号、パスワード…もう限界に来ていませんか)。 そもそも、
イカ娘でTwitter OAuth認証 - ゆーすけべー日記
Webサービスのログイン方法の一つに「Twitterログイン」が最近多く見られるようになってきました。 サイト上でのユーザー登録無しでTwitterアカウントを引き回すことも工夫によってはできますので、 ユーザーや開発者にとって手間が省けるという利点があるのではないでしょうか。 今回はアニメ「イカ娘」を題材とした簡単なWebアプリを作りつつTwitterのOAuth認証の流れと実装を見ていきましょう。 Twitter OAuth認証の流れ Twitter OAuthでは主にキーと鍵のペアの値がいくつかでてきて混乱しがちなのでイカ、おっと間違えた、以下にまとめておきます。 「コンシューマトークン、コンシューマシークレット」 アプリケーション固有のキーと鍵。Twitter Developerのページで発行される。アプリケーション開発者以外に知らせてはいけず、通常は設定ファイルなどに記載してアプ
uayeb » メールサーバの設定(postfix, dovecot, sasl2=saslauthd)
3:メールサーバ さて次は、一番タイヘンなメールサーバ。メールサーバは、 1. 実際のメールの送受信を担当するSMTP(ここではpostfixを使います) 2. postfixが受け取ったメールをメールソフトに提供するメールサーバ(ここではdovecotを使います) 3. メールを送ろうとしている人が信頼できるかどうかの認証を行う認証デーモン(ここではsaslauthdを使います) を入れる必要があります。 サーバを動かしているマシンそのもの、あるいは、家庭のLAN内のマシンからだけ送信を行うのであれば、3はなくてもいいようですが、外出先から自宅のメールを読み、それに対して「自宅サーバから」返信をしたいということはあると思います。しかしpostfixは、外部から無節操にサーバを使ってSPAMなどを送られないように、なんらかの手段で認証をしないとメール送信を受け付けないようになっているみたい
Firefox、ログインの常識を変える「BrowserID」を発表 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
)
Configure Windows Authentication (IIS 7)
Applies To: Windows 7, Windows Server 2008, Windows Server 2008 R2, Windows Vista Use Windows authentication when you want clients to authenticate using the NTLM or Kerberos protocols. The default authentication configuration for IIS 7 enables Anonymous authentication only. Windows authentication, which includes both NTLM and Kerberos v5 authentication, is best suited for an intranet environment f
連載:そろそろLDAPにしてみないか?|gihyo.jp … 技術評論社
運営元のロゴ Copyright © 2007-2024 All Rights Reserved by Gijutsu-Hyoron Co., Ltd. ページ内容の全部あるいは一部を無断で利用することを禁止します。個別にライセンスが設定されている記事等はそのライセンスに従います。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Active Directory 侵害と推奨対策
Keytabs and Wallet | Information Technology Services