Yahoo! JAPAN IDをパスワードレスに ユーザビリティとセキュリティを両立させるためにやったこと
Yahoo! JAPAN IDのパスワードレス普及への取り組み 三原一樹氏:このセッションでは全体を通してYahoo! JAPAN IDの取り組みについてご紹介させていただきます。まず、私、IDソリューション本部の三原から「Yahoo! JAPAN IDのパスワードレス普及への取り組み」について発表いたします。 まず自己紹介させてください。三原一樹と申します。 Yahoo! JAPANには2008年に新卒で入社し、エンジニアとして丸10年が経ちます。入社後はメディア系のサービス開発を複数行ってきましたが、1年ほど前に現IDソリューション本部に異動となりました。 現在はログインや認証技術関連の設計・開発、そしてチームマネジメントをしています。趣味はランニングで、業務外ではiOSアプリ開発などをしています。 今回の発表でのアジェンダはこちらです。 「Yahoo! JAPAN IDの現状」につい
入力された認証情報の漏えいをチェックする「Chrome」拡張機能がリリース
Googleは、Safer Internet Dayにあたる米国時間2月5日、「Password Checkup」という新しい「Chrome」拡張機能をリリースした。ログインフォームに入力されたユーザー名とパスワードの組み合わせが、過去のデータ漏えいやセキュリティ事件によって、オンラインに流出していないかどうかをチェックするものだ。 この拡張機能は、ユーザーがオンラインサービスにログインしようとするたびに動作する。ログインフォームに入力されたユーザー名とパスワードを、過去の公開流出データからGoogleが作成した40億件を超える認証情報のデータベースと照合する。 ユーザー名とパスワードの組み合わせが、Googleの社内データベースの中の安全でない認証情報と一致した場合、認証情報を変更する必要があることを示すポップアップ警告が表示される。 Googleによると、この拡張機能はプライバシーを念
パスワードからおさらばする方法:さまざまな選択肢を考慮しよう | readwrite.jp
先月、最新ブログ・プラットフォームのMediumは、信頼できる古いパスワードを放棄し、新しいログイン・プロセスを公開した。従来の方法とは異なり、ユーザーはただメールアドレスか電話番号を入力すると、一時的なログイン用のリンクが受信トレイか携帯電話に届く。パスワード・リセットや、あるサイトに初めて登録する時のアカウント検証のリンクと同じ方式だ。 「パスワードは安全でもシンプルでもありません」とMediumのジェイミー・タルボットは、近頃盛り上がっている主張を総括し、このように述べている。「パスワードは覚えにくかったり、簡単に推測できたりし、誰もが(そうすべきでないとわかっていても)再利用しているものです。そして携帯電話では入力しにくい。そんなに安全というわけでもありません」。 われわれのオンライン・アカウントの門番(警備員)たるには、パスワードは非常に脆弱だ。「しらみつぶしに」探り当てることが
自宅の鍵を定期的に取り替える佐藤君(仮名)の話
パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明したと思います。比喩によって精密な議論ができるとは思っておりませんので、あくまでも主観的な「もやもや」を説明する方便として読んでいただければ幸いです。ここに登場する佐藤は架空の人物です。 徳丸: 佐藤君は自宅の鍵を定期的に取り替えていると聞いたんだけど、本当? 佐藤: 本当ですよ。毎年に替えています。毎年年末に鍵を取り替えて、安心な気持ちで新年を迎えるんです。徳丸さんは替えてないんですか? 徳丸: 替えないよ。鍵を落としたりしたらまた別だけど、そういうのでもなければ替えないよね。佐藤君はなぜ毎年替えるの? 佐藤: だって
共有アカウント管理の神サービス「Mitro」 - Hacking My Way 〜 itogのhack日記
これはずっと待ち望んでたー! あらゆるサービスでパスワードが必要な昨今、同じパスワードを使いまわすことの危険性はわかっているとはいえ、毎回違うパスワードを考え、覚えておくのは難しいものです。 こうした問題は、パスワードの生成、管理をするツールを使うことで解決することができます。有料でよければ1password、無料ならKeyPassXがそれぞれマルチプラットフォームで使えて便利です。 さて、個人のパスワードであればこれでOKなのですが、まだ課題がありました。企業やグループで共有するパスワードの管理です。例えば開発用のTwitterアカウントを共有するといった用途が考えられますね。 これまではオフラインで見せたりして伝え、ローカルに保存する時は暗号化して、といったようなルールで乗り切るしかなかったのですが、安全性と利便性のバランスや、個々の意識やリテラシの違いまで含めて管理することは事実上は
パスワード用のハッシュとは(猛省用資料)
昨日の記事はだいぶ注目を集めたようです。今日は自分向けの技術的なメモです。 パスワード等に使うのにSHAなどのよく知られたハッシュ関数ではなぜダメなのか? パスワード用のハッシュ関数は何が違うのか? という話です。なお、今回はほんとに昨日今日でいろいろ仕入れたもののため、中身も薄いし間違ってるかもしれません(また、個別のアルゴリズムやテクニックなどは陳腐化しやすいので、後日にはいろいろ変わっていることでしょう)。その辺は注意してください。 ネタ元は http://throwingfire.com/storing-passwords-securely/#notpasswordhashes など 、あと https://plus.google.com/102550604876259086885/posts/4eoNnNSQ7W6 にコメントをいただいた皆さん(ありがとうございます!)。 で。
パスワードは全て異なるものにするしかない : akiyan.com
パスワードは全て異なるものにするしかない 2012-05-14 目次 共通パスワードは恐ろしい 1年くらい前から、全てのウェブサービスのパスワードをユニークな(=全て異なる)パスワードにしました。100以上の利用サービスがあるので、達成するまでは手間でしたが、達成後はかなりの安心感を得ることができました。 どうやったのかは後で説明しますが、なぜそうしたかというと、あるとき、同じパスワードを使い回すのが恐ろしくなったんですよね。 どういうことかというと、「サービスA」「サービスB」があるとします。パスワードが同じだと、サービスAのパスワードが流出したときに、サービスBにまで被害が広がる恐れがあります。流出しなくても、サービスAの管理者が悪意を持っていれば、サービスBにアクセスできてしまします。 これを現実世界の鍵に例えると、「家の鍵と、貸しロッカーの鍵が同じ」みたいなものです。こう思うとヤバ
OS X Lionのパスワードが平文で保存される――アップデートで問題発生
2月に公開された「OS X Lion v10.7.3」のセキュリティアップデートで、ユーザーのパスワードがプレーンテキストで保存される状態になっていることが判明したという。 米Appleが2月に公開した「OS X Lion v10.7.3」のセキュリティアップデートで、ホームフォルダの情報暗号化に使われるFileVaultのデバッグオプションが手違いで有効にされ、ユーザーのパスワードがログファイルにプレーンテキストで保存される状態になっていることが判明したという。 この問題は、セキュリティ研究者が発見して5月5日付で暗号化情報のメーリングリストに投稿した。Appleは7日の時点でまだ問題を修正していないとみられる。 セキュリティ企業の英Sophosによれば、問題のログファイルはディスクにアクセスできる者なら誰でも読むことができ、パスワードを取得してディスク上の暗号化された領域にログインし、
iPhoneのパスコードロックを数秒で解除――捜査当局向けツール「XRY」の動画が公開
欧米の60カ国以上の警察や政府機関が採用するフォレンシックツール「XRY」では、iPhoneやAndroidのPINコードを解除し、GPSデータやテキストメッセージなどを取り出せる(動画あり)。 スウェーデンのセキュリティ企業Micro Systemationが各国の公的機関に提供しているフォレンシック(科学捜査)ツール「XRY」を使えば、例えばiPhoneの4桁のパスコードロックを数秒で解除できる――。同社は3月20日(現地時間)、公式YouTubeチャンネルでXRYのデモ動画を公開した。 同社は、欧米の60カ国以上の警察、政府機関、軍事機関にXRYを提供しているという。こうした組織は詐欺や窃盗、汚職などの犯罪捜査でこのツールを使い、スマートフォン内のデータにアクセスする。 デモ動画では、iPhoneのPINコード(0000に設定)を数秒で解除し、データをPCに取り込んでデコードし、GP
あまり手間をかけずにiPhoneのパスコードロックを強化する方法
iPhone(iPod touch・iPadも)のパスコードをオンにした場合、デフォルトでは「簡単なパスワード」(4桁の数字)に設定されます。 先日の記事などを読んで4桁の数字に不安を覚えた方は、「簡単なパスワード」をオフにし、アルファベットを混ぜた複雑なコードを使うこともできますが、入力画面にフルキーボードが表示され、入力が煩雑になるというデメリットがあります。 そこで、「簡単なパスワード」をオフにしつつ、あえて数字のみのコード(4桁以外)に変更してみます。 実は、数字のみを使った場合、パスコードの入力画面はフルキーボードではなく、テンキーで表示されるのです。 「簡単なパスワード」がオンの場合(左)と、オフにして数字のみを使った場合(右)を比べると、入力窓に違いがあることがわかります。 オンの場合はパスコードが4桁に固定され、オフにすると文字数を1桁以上で自由に決めることができるためです
気を付けるべきは認証
クラウドサービスを利用するとき、まずはログインのためのIDとパスワードの入力が求められる。もしこのIDやパスワードが流出して、他人に知られてしまうと、不正にログインされる危険性がある。この不正アクセスを防ぐには、ユーザー企業自身でしっかりとIDとパスワードを管理する必要がある。 IDとパスワードの管理で重要なことは、不用意にパスワードを外部にさらしたり推測されやすいパスワードを使わないこと。ウイルス感染やフィッシング詐欺などによって流出しないように注意する必要もある。これらに加えてクラウドサービスを利用するときのセキュリティ対策には、1)サービスで提供されているパスワード設定機能やアクセス制限機能を活用する、2)認証情報をクラウド上に置かない、3)複数のサービスを組み合わせる──の三つがある。順に見ていこう。 どこまで詳細に設定できるかを確認 1)のパスワード設定機能やアクセス制限機能は、
最強のパスワード管理ツール5選! | ライフハッカー・ジャパン
ネット中心に発展していく世界において、増え続けるのがパスワードと呼ばれる文字の羅列ですが、簡単すぎてもセキュリティが危ういし、難しすぎると忘れてしまうし、となかなか良いバランスを見つけ出すのが大変です。今回は、パスワード管理のお手伝いをしてくれる便利なパスワード管理ツールを5つほどご紹介! 全てのアカウントなどに同じパスワードを使うと確かに楽ですが、これは危険極まりない行為です。逆に、全てのアカウントのパスワードを違うもの、かつ強力なものにしてしまうと、常人の頭脳ではとても覚えきれる数ではないかと。 パスワード管理ツールとは「少ないパスワードの使い回し」と「自分でも覚えられない複雑すぎるパスワード」の絶妙なバランスを保つことを目的としてこの世に誕生したツールなのです。下記の5つのツールは強力なパスワードを設定し、かつ、それらを管理する、という正義の味方のようなツールです。 ■KeePass
KeePassでパスワードをより厳重に管理する方法 | nanapi[ナナピ]
KeePassでパスワードをより厳重に管理する方法 に関するライフレシピをご紹介します。nanapi [ナナピ]は、みんなで作る暮らしのレシピサイトです。nanapiでライフレシピ生活! あなたのライフレシピを待っている人たちがいます あなたが生活でちょっとうまくやっていること、 それを知りたがっている人たちがいます! あなたの投稿で、 みんなの生活をハッピーにしてみませんか? nanapiに参加する(無料) はじめに 多くの人が、パスワードをいろいろなサイトで同じにしてしまっています。 しかし、これは非常に危険です。一つでも漏れたらすべての情報が漏れてしまうことになります。 一方で、それぞれに違うパスワードを使っていたら忘れてしまって、ログインできない・・・という本末転倒なことも起こりかねないですよね。 そこで、KeePassというソフトを使って、より安全、楽にパスワード管理をする方法
iPhoneのパスワード強化方法 – 数字4桁のパスワードは危険 - EC studio 社長ブログ
iPhoneはとても便利で今や手放せないデバイスですよね。 ただ、依存度が上がれば上がるほど、セキュリティリスクが高くなります。 iPhoneの大きな問題の一つに、ログイン認証のパスワードが 数字4桁であることです。人に見えないように隠しながら打てばいいのですが 無防備にパスワードを打ってる方を良く見かけます。 もしその4桁の数字が銀行のキャッシュカードのパスワードと同じだったりすれば それはお金を引き出せる情報を一般公開しているのと同じです。 EC studioではiPhoneを全員に支給していますので、このパスワード問題は 情報漏洩リスクにもつながります。 そこでEC studioでは全スタッフのiPhoneパスワードは英字を含めた 5桁以上のパスワードへ強化するように対策しています。 ——————————————————————— Appleの製品は実はこんな機能があったんだというこ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あなたのパスワード、バレてます
Windowsパスワードがわからなくなってしまった場合、Sticky Keys機能でパスワードのリセットが可能なんです | ライフハッカー・ジャパン
IDEA * IDEA