政府とデジタルウォレットのあり方に関するOIXのレポートを読む(1)
こんにちは、富士榮です。 政府とデジタルウォレットに関するOIX(Open Identity Exchange)のレポートをご存知でしょうか?昨年の秋口に出ているもので、簡単にいうと「政府が発行するクレデンシャルを政府が管理するウォレットに入れるのがいいのか、民間のウォレットにも入れていいのか」についての現状をまとめたレポートです。 Governments and Digital Walletshttps://openidentityexchange.org/networks/87/item.html?id=706 ということで読んでいきます。今回はエグゼクティブ・サマリー部分です。ここだけ読めば最低限の論点と結論はわかります。ウォレット提供者の選択肢冒頭の課題提起の部分にはこんなことが書いてあります。Governments around the globe are tracking th
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
GAFAMでMicrosoftだけが活用できていないモノ - 3流(技術屋 and 本読み)
気づいちゃった気づいちゃったわーいわい。 どうもテッカちゃん体型のmarujxです。 --------------- 米国の代表的なテック企業を一括りにする言葉として、GAFAとか GAFAMとかいう言葉がある。Google、Apple、Facebook、Amazon、Microsoftの頭文字をとった略称だ。 Microsoftは企業向け製品でも、個人向け製品でも成功をおさめている会社だけれども、他の4企業と決定的に異なるのは、主に企業向け製品でのし上がってきた会社ということだ。 実はMicrosoftは、個人向けのWebサービスで大成功したことがない。その他4企業は個人向けのWebサービスで大成功をおさめた会社だ。検索やGmailやAndroid、iPhoneなどのiOS機器、Facebook、Amazon Storeなど、使用者が10億人規模の個人向けWebサービスで大成功をおさめて
今なら間に合う分散型IDとEntra Verified ID
6/30のOffice365勉強会のEntra Verified ID特集の資料です。 分散型ID、Entra Verified IDの解説をしています。Read less
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
社内認証パスワードレス化のすゝめ
パスワードレスとは 「パスワードレス」とは言葉通り「パスワードが要らない」という意味です。パスワードにはたいてい「英数字・記号を含む8文字以上の複雑な文字列にしてください」「一年ごとに変更をしてください」といった煩わしい制約が存在します。利用者にしてみれば毎回違うパスワードを考えたり覚えたりするのは負担ですし、結局簡単なものや同じようなパスワードを使いまわしがちになり、管理者としても望んだ結果ではないという問題があります。パスワードレスはそういった煩わしさから利用者・管理者双方を解放します。 ヤフーの社内認証事情 ヤフーには一万人を超える社員が在籍しており、毎日一回以上認証の機会があります。 社員が社内ツールにアクセスすると、まずはじめに共通の入口である内製の社内認証基盤へとリダイレクトされます。そこで社員は実際のログイン手段として以下の三種類の認証方式から選択します(図1)。 社内ID/
2つの公開鍵暗号(公開鍵暗号の基礎知識) - Qiita
はじめに TLS/SSLをはじめとして、様々な場面で公開鍵暗号が重要な役割を果たしているのは良く知られていることと思います。 ここで公開鍵暗号が何かというと、「かたやデータを公開鍵で暗号化して、かたや秘密鍵で復号する。他人にはデータの内容が漏れない」という説明が一般的です。 そうすると大抵の人は「TLS/SSL、公開鍵で暗号化して秘密鍵で復号するのね」と2つの情報を組み合わせ、それで納得してしまうわけですが、実は今日これは大体において誤り1です。 この誤りはいまやどうしようもなく広く流布していています。これは、適切な入門書がないことや、そもそも情報の検証を行う人が少ない ( そこまでする動機がない ) という理由によるわけですが、公開鍵暗号という言葉が2通りの意味で流通しているという面も大きいように思われます。 ということで、この2つの意味の違いに着目しつつ、基礎の整理を行いたいと思います
OAuth2の次に来ると言われる認可プロトコルGNAPとはなにか | メルカリエンジニアリング
Merpay Advant Calendar 2020、23日目の記事は、趣味で認証認可をやっている @nerocrux が送りいたします。 最近 GNAP という認可プロトコルのワーキンググループドラフトが出ていて頑張って細かく読みましたので、(次回はいい加減に仕事でやってることについてお話しますが)今回はその GNAP について紹介させてください。 GNAP とはなにか? GNAP は Grant Negotiation and Authorization Protocol の略で、認可のプロトコルです。Justin Richerさんという方を中心に策定しています。作者によると、GNAP の発音は げなっぷ になります。 認可(Authorization)プロトコルと言えば、OAuth 2.0 (RFC6749) が広く知られ、運用されています。GNAP は OAuth 2 の後継とし
SMS-OTPは交代の時期が近づいている - Fox on Security
マイクロソフトは多要素認証(MFA)の認証の中で、SMS(OTP)と電話ボイスメッセージの使用を停止した方が良いと注意喚起し始めています。 hotforsecurity.bitdefender.com MFAを有効にしても、アカウントがハッキングされないという保証はありません。これは、SMSメッセージで配信されることが多い電話ベースのMFAを使用している場合に特に当てはまります。 私たちが前に説明したように多数の機会、ハッカーが正常にSIMスワッピング詐欺オフ引っ張ってきました。 成功した場合、SIMスワップ(「ポートアウト」詐欺とも呼ばれます)は、犯罪者があなたの電話番号を制御できるようになり、あなたにかけられたすべての通話とSMSテキストメッセージを受信することを意味します。 つまり、SMSまたはボイスメッセージを使用してMFAコードを配信している場合は、代わりに潜在的なハッカーに直接
Hiromitsu Takagi on Twitter: "バグ取り改訂版。再掲:銀行に限らず、Webのログイン認証(スマホアプリのリモート認証含む)のパスワード強度に係る設定自由度の評価を、こんな指標で評価して比較してはどうですかね。 https://t.co/MZo8DiwyX1 https://t.co/ApNgp5mZF9"
バグ取り改訂版。再掲:銀行に限らず、Webのログイン認証(スマホアプリのリモート認証含む)のパスワード強度に係る設定自由度の評価を、こんな指標で評価して比較してはどうですかね。 https://t.co/MZo8DiwyX1 https://t.co/ApNgp5mZF9
「特別定額給付金」申請のナニがダメだったのか
「ダメだったのか」って過去形にしちゃったけど別にいいよね,もう今更だし。 いやね 特別定額給付金のオンライン申請で起きた問題についてまとめてみた - piyolog を見て笑っちまったのよ。 特に この問題を受け、郵送方式での申請を一部の自治体では推奨しています。 の部分。 それってただの「先延ばし」なんだけど(笑) 今回の「特別定額給付金」申請の最大の障害(ボトルネック)は申請受理の作業が「人力」である点だろう。 世帯単位での申請とはいえ人口の多い都会ほど世帯ごとの人数が少なくなるんだから,申請受理の「人力」作業でパンクしてしまうのは火を見るよりも明らか。 その上に個人番号カード発行や関連トラブルで混乱に拍車がかかっているのだから,ニンともカンとも。 オンライン申請で「おや?」と思った人も多いと思うが,申請時に提出する「添付書類1」って「目視」による確認らしいんだよね(そう明記されていた
ベリサイン【VRSN】の銘柄分析。「.com」のドメイン管理で高収益。 - たぱぞうの米国株投資
ベリサイン【VRSN】の銘柄分析。ドメイン名登録で知られるIT企業 ベリサインの銘柄分析です。 ベリサインはコンピュータ・ネットワークセキュリティに関するソフトの開発で知られる、RSAセキュリティの認証部門がスピンオフされる形で創業しました。インターネット黎明期の1995年に創業、1998年には上場を果たしています。 「.com」や「.net」などのトップレベルドメインや、インターネット上に13個あるルートネームサーバのうちの2台の管理、登録を行っています。いわば、インターネットインフラを担う企業と言えます。 ベリサインの認証サービスは金融サービスや小売アプリケーションなどで使われており、現在300万以上の電子証明を運用しています。当然ながらネットワークセキュリティにも強く、世界の公開鍵証明書業界のほとんどを独占しています。 参入障壁の高い、特殊性ある事業形態です。 ベリサイン【VRSN】
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
QRコード決済窃盗に登場した第3の手口。バーコードがセキュリティホールに - 中華IT最新事情
スマホ決済「アリペイ」「WeChatペイ」では、QRコードを使って、決済を行う。現在は顔認証なども導入されているが、まだまだQRコードを使う場面は多い。そこを狙って、さまざまな資金を盗む手口が使われてきたが、最近になって「バーコードの数字を読み上げさせる」という新たな手口が発覚したと熱点指南が報じた。 動的コードと静的コード。2種類ある決済方法 スマホQRコード決済「アリペイ」「WeChatペイ」では、何種類か、お金を盗まれてしまう典型的な手口が存在する。 このような隙が生まれるのは、QRコード決済の決済方法が複数あることが原因だ。さまざまなシチュエーションに対応できるように複数の決済方法が用意されているが、利用者にとってはこれが混乱の元で、資金を盗まれる原因になっている。 QRコード決済の支払い方法は主なものでも3つある。ひとつは商店側がQRコードを掲示し、消費者がこれをスマホでスキャン
【書評】ゼロトラストネットワーク | DevelopersIO
オペレーション部 江口です。 以前から気になっていた「ゼロトラストネットワーク」の翻訳版がオライリーから発売されました。 https://www.oreilly.co.jp/books/9784873118888/ 早速読んでみたのでレビューしてみたいと思います。 書籍の概要 最近新しいセキュリティの考え方として注目されている「ゼロトラストネットワーク」について取りあげた書籍です。 ゼロトラストネットワークの概念、どのように構成するか、認証をどうするべきかなどを解説し、またGoogleやPagerDutyでの実際のシステムの事例などを紹介しています。 目次 1章 ゼロトラストの基礎 2章 信頼と信用の管理 3章 ネットワークエージェント 4章 認可の判断 5章 デバイスの信頼と信用 6章 ユーザーの信頼と信用 7章 アプリケーションの信頼と信用 8章 トラフィックの信頼と信用 9章 ゼロト
マイクロサービスにおける内部通信の認証について
"Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~"の発表資料です。 https://connpass.com/event/142624/
ID生成大全 - Qiita
セッションIDやアクセストークン、はたまた業務上で使う一意の識別子など、いろんなところで一意のIDを生成しなきゃいけないケースが存在します。 そこで世間で使われているIDの生成方法について調べてみました。 選択基準 ID生成における要求として、以下の観点が上げられるかと思います。 生成の速度 大量にデータを短期間で処理し、それらにIDを付与する場合、ID生成そのものがボトルネックとなることがあります。 推測困難性 IDを機密情報と結びつける場合、IDを改ざんされても、機密データが見れないようにできている必要があります。 順序性 採番した順にデータをソートする必要がある場合は、IDがソートキーとして使えないといけません。 それぞれについて各生成手段を評価します。 ID生成の手段 データベースの採番テーブル 採番用のテーブルを作り、そこで番号をUPDATEしながら取得していくやりかたです。古い
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」
徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に役立つセッションの模様をレポートする。 2019年初め、ファイル共有サイト「宅ふぁいる便」で会員情報の漏えいが発生した事件では、世間に大きな驚きが走った。漏えいの事実自体もさることながら、保存されていたパスワード情報が「暗号化されていなかった」ためであり、特にインターネット上では「今どき、パスワードを暗号化していないなんて」と厳しい批判が相次いだ。 複数の調査や報道によると、パスワードを平文で保存しているサイトは宅ふぁいる便に限らない。その後FacebookやGoogle、Twit
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Insight series: What is device attestation? - GlobalPlatform
時代遅れの「パスワード定期変更」 - 日本経済新聞
