初めまして。DP部のor2です。 世に普及している指紋認証がどれくらいの識別能力を持っているのか気になったのでゼラチンを使って簡単な実験をしてみました。 対象としたのはTouchID第2世代のみです。 検証対象は一つだけと寂しいですが先に結論を述べると認証を突破出来ました。 今回は粘土で指紋の型作成に挑戦しましたが、3Dプリンタ(レジン)でも指紋の型を作ることができるようです。 ちなみにTouchIDとは、iPhoneのホームボタンで指紋認証できる機能のことです。(正確には、そのほかのApple製品でも利用されています) iPhone5s~iPhoneSE(第1世代)までがTouchID第1世代を利用、iPhone6s~iPhoneSE(第3世代)までがTouchID第2世代を利用しています。 これ以降の機種はFaceIDを利用した生体認証に切り替わっています。 今回実験対象としたのはiP
Amazonでは、クレジットカードと自身の手のひらを紐付けて決済可能にする生体認証サービス「Amazon One」をアメリカの一部の店舗で導入しています。そんなAmazon Oneを、アメリカ国内に200店舗以上を構えるスーパーマーケットチェーン「ホールフーズ・マーケット」の全店舗に2023年の年末までに導入することを発表しました。 Amazon One checkout coming to all Whole Foods stores in the U.S. https://www.aboutamazon.com/news/retail/amazon-one-whole-foods-market-palm-scanning Amazon to add pay-by-palm tech to all Whole Foods stores by year end https://www.cn
共同でコードを書くサービスを悪用し、開発者がそれと気づかないまま公開してしまったOpenAIのAPIキーをスクレイピングしてGPT-4を無料で使う手口が確認されたことを、Motherboardが報告しました。 People Are Pirating GPT-4 By Scraping Exposed API Keys https://www.vice.com/en/article/93kkky/people-pirating-gpt4-scraping-openai-api-keys 記事作成時点でGPT-4などの大規模言語モデルを使いたい場合、OpenAIのサイトでアカウントを作成してクレジットカードを登録する必要があります。アカウントを作ると、AIを使用するための固有のAPIキーが付与されるので、アプリ開発者は自分のアプリにこのキーを組み込むことでAIを活用したアプリを開発できます。
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 日本プルーフポイントは5月31日、2022年のサイバー攻撃動向を分析した報告書「2023 State of the Phish」を発表した。2022年後半に出現した新たなサイバー犯罪代行サービスの影響で、クラウドサービスの認証情報を狙う攻撃が急増しているという。 9回目となる同報告書は、世界7カ国のビジネスパーソン7500人と15カ国のITセキュリティ担当者1050人を対象にした調査と、同社のメールセキュリティサービスのユーザー企業から提供された攻撃情報などを分析し、取りまとめている。 同日の記者向け説明会では、マーケティング本部長 チーフエバンジェリストの増田幸美氏が、報告書で対象とした2022年に直近の動向も加味して情勢を解説した。
デジタル庁はマイナカード機能のうち、署名用および利用者証明用の電子証明書を5月11日からAndroid端末にダウンロードできるようにする(スマホJPKI)。これにより、マイナカードを持ち歩かなくても、マイナカード関連サービスの利用が可能になる。 このスマホJPKIを使い、オンラインで本人確認が行える機能を、Liquid(東京都千代田区)とサイバートラスト(東京都港区)が開発したと4月26日発表した。金融機関や通信事業者などが導入すれば、オンラインで簡単に本人確認が可能になる。 これまでも、スマホに専用のアプリをインストールすれば、マイナカードを使った本人確認は可能だった。しかし、都度スマホでマイナカードを読み取ってマイナカードに登録した暗証番号を入力する必要があった。 スマホJPKIを使うと、専用アプリを用意しなくてもWebブラウザから認証を開始でき、マイナポータルアプリを使い、スマホ内の
米Googleは4月24日(現地時間)、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)をアップデートし、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにしたと発表した。これで端末を紛失してもロックアウトされることがなくなり、機種変更時の移行作業も不要になる。 Google認証システムは2010年にリリースされた、サービスやアプリへの2要素認証(2FA)によるログインで利用できるアプリ。AndroidだけでなくiOS版もあり、TwitterやFacebookなど多数のサービスで利用できる。 これまではワンタイムコードを1つの端末にしか保存できなかったため、その端末を紛失したり盗難されたりすると、このアプリを使って2FAを設定したサービスやアプリにログインできなくなっていた。 既にこのアプリを使って
2023年2月、ウォール・ストリート・ジャーナルがiPhoneを盗まれた人々についてのレポートを公開しました。多くの被害者はバーや公共の場所でロック画面のパスコードを入力しているところを見られてしまったと訴えており、数桁のパスコードを知りさえすれば決済アプリ等で多額の請求を行えてしまう状況の改善を求めていました。これに続いてウォール・ストリート・ジャーナルが4月19日に新たなレポートを公開し、パスコードを知られた被害者がアカウントから閉め出されているという情報を伝えました。 The iPhone Setting Thieves Use to Lock You Out of Your Apple Account - WSJ https://www.wsj.com/articles/the-iphone-setting-thieves-use-to-lock-you-out-of-your-a
フィッシングに遭っても、パスワードが漏れても、比較的安全な方法があったとしたら気になりませんか? この記事では、Webアプリケーションにおける認証について、特にB to Cに的を絞ってお届けしたいと思います。B to Cサービスを提供する方を読者として想定していますが、利用する側の方も知っておいて損はありません。 セキュリティ認証、突破されていませんか? 突然ですが、あなたが提供しているサービスの認証周りのセキュリティは万全ですか?既にMFA(Multi Factor Authentication:多要素認証)を導入しているから大丈夫と考えている方もいるかもしれません。しかし、それは本当に大丈夫なのでしょうか。 MFAだって突破される MFAを有効にすることで、99.9%のリスクは低減できると言われています。しかし、最近ではMFAを突破する事例も出てきているのです。 事例1 Cloudfl
Twitterはアカウントのセキュリティを強化するための方法として2要素認証(2FA)を提供しています。2FAでは「ショートメール」「認証アプリ」「セキュリティキー」の3つのいずれかを使って認証を行うこととなるのですが、このうちショートメールを使ったものを有料化するとTwitterが発表しました。 An update on two-factor authentication using SMS on Twitter https://blog.twitter.com/en_us/topics/product/2023/an-update-on-two-factor-authentication-using-sms-on-twitter Twitter to charge for SMS-based two-factor authentication - 9to5Google https://
Google、新サインイン方式「Passkey(パスキー)」を用いたアプリ認証の正式版「Credential Manager」をアプリ開発者向けにリリース アプリに「Credential Manager」を導入することでパスワードレスのサインインが可能に 「Credential Manager」はアプリで使用可能な全てのサインイン方式を一つに集約 Google は 2023 年 2 月 6 日(月)、昨年 2022 年 10 月に Android と Chrome においてベータ版として提供を開始した新サインイン方式「Passkey(パスキー)」の正式版となる「Credential Manager(Credential Manager API)」を、アプリ開発者向けにリリースしました。
ウェブサービス利用時のセキュリティを強固にする手法の1つに「ワンタイムパスワード発行アプリを用いて二要素認証を行う」とうものがあります。しかし、ワンタイムパスワード発行アプリとして広く使われている「Google認証システム(Google Authenticator)」には「アプリ公開から長らくエクスポート機能がサポートされていなかった」「端末を壊すとバックアップコードの再発行が不可能になる」といった問題が存在しています。オープンソースで開発されている「Aegis Authenticator」なら、無料でワンタイムパスワード発行環境を整えつつ「認証情報を自由にエクスポート可能」「ワンタイムパスワードの閲覧にパスコードや指紋認証を要求可能」といった便利機能も使えるとのことなので、実際にインストールする手順や使い方をまとめてみました。 Aegis Authenticator - Secure 2
2022年末に発表されたApple IDのセキュリティキーについての概要をまとめた専用のサポートページがAppleにより公開されました。そもそもセキュリティキーとは何なのか、どのデバイスが対応しているかなどが詳しく記されています。 Apple IDのセキュリティキーとは? Apple IDにログインする際の2ファクタ認証は、これまで1つ目の情報としてApple IDのパスワード、2つ目の情報として6桁の確認コードが使用されてきましたが、2つ目の情報として代わりに物理的なセキュリティキーが使用できるようになりました。物理的なキーを使うため、認証要素を攻撃者に傍受されたり要求されたりする事態を防ぐことができます。 セキュリティキーは、物理的に自分で管理しなければならないため、Appleはキーについて下記の注意書きを添えています。 セキュリティキーはご自身で責任を持って管理してください。信頼でき
2023年1月23日にAppleがリリースしたiOSやiPadOS、macOS向けのアップデートでは、Apple IDへのサインイン時にFIDOに準拠した物理セキュリティキーを利用できるようになりました。セキュリティキーによるログインはセキュリティを強固にするだけでなく、SMS認証の手間からも解放されるので非常にお役立ち。そこで、実際にセキュリティキーを設定する手順や、解除する手順をまとめてみました。 About Security Keys for Apple ID - Apple サポート (日本) https://support.apple.com/ja-jp/HT213154 ・目次 ◆1:セキュリティキーの設定手順 ◆2:実際にセキュリティキーでサインインしてみた ◆3:セキュリティキーの連係解除手順 ◆1:セキュリティキーの設定手順 今回は、iOS 16.3にアップデートしたiP
Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー(Passkeys)」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か? 理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋/顔認証を備えたiPhone、Androidなどでアクセスしてみよう。
ワンタイムパスワードを用いた二要素認証は、ウェブサービス利用時のセキュリティ向上に役立ちます。しかし、Google製ワンタイムパスワード発行アプリ「Google認証システム(Google Authenticator)」の利用者からは「スマートフォンを壊した結果、Google Authenticatorのバックアップコード再発行が不可能になった」という報告が寄せられています。 Tell HN: It is impossible to disable Google 2FA using backup codes | Hacker News https://news.ycombinator.com/item?id=34441697 Google Authenticatorは、各種ウェブサービスにログインするためのワンタイムパスワードを発行するアプリです。例えば、以下はDiscordにログインする際
ウェブサービスを安全に使用する手段の1つとして、「ワンタイムパスワード発行サービスを利用する」という方法があります。ワンタイムパスワードを生成するアプリとしては「Google Authenticator」「Microsoft Authenticator」「Authy」といったアプリが広く利用されていますが、これらのアプリはGoogleやMicrosoftなどの企業によって開発されたものであり、透明性や信頼性に不安を感じる人もいるはず。オープンソースで開発されているAndroid向けのワンタイムパスワード発行アプリ「Aegis Authenticator」を使えば、特定の企業に依存せず二要素認証によるセキュリティ強化を実行できるだけでなく、Google Authenticatorでは不可能な「ワンタイムパスワードの不可視化」なども可能となります。 Aegis Authenticator -
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 米ロチェスター工科大学とカナダのウォータールー大学に所属する研究者らが発表した論文「OneButtonPIN: A Single Button Authentication Method for Blind or Low Vision Users to Improve Accessibility and Prevent Eavesdropping」は、PIN(Personal Identification Numbers)コード(パスコード)において、数字を押さずに入力する視覚障害者向けの手法を提案した研究報告だ。 顔や指認証と違って、どんな環境や状態でも安定してロック解除できる認証メカニ
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など 12月2日から配布が開始されている最新のGoogle Chrome 108では、パスワードレスを実現する機能の「Passkey」がWindows 11、macOS、Android版で利用可能になっていることをGoogleが明らかにしました。 下記はブログ「Introducing passkeys in Chrome」で紹介されているAndroid版ChromeでのPasskey利用時の画像のキャプチャです。 Chromeは以前から業界標準のパスワードレス技術であるWebAuthn/FIDOに対応しており、パスワードを使わずデバイス側での指紋認証やPINコードなどによる認証によりWebサイトへログインできる機能を備えていました。 参考:Chrome 70から、WebAut
はじめに この記事を読んでいるあなたはJWTについて知っているだろうか?JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の1つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
はじめにこんにちは。TIG の吉岡です。秋のブログ週間 10 本目の投稿です。 2022年の 5 月に Apple, Google, Microsoft そして FIDO Alliance が マルチデバイス対応FIDO認証資格情報 を発表してから、パスワードレス技術に対する注目が高まっています。1 パスワードレスの概要について調査してまとめてみました。 目次 私たちとパスワード パスワードの抱える問題 パスワードマネージャ 公開鍵暗号の活用 パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来 私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが
例えば、 通常のIDを管理してる団体は、その情報を販売(データビジネス)したり、データ分析をしてマーケティングに利用したりできます。 しかし、DIDは管理団体がいないので、上記のように利用されることはありません。 DIDの構成 DIDは下記のような構成になっております。 did:[method-name]:[method-specific-id] ※ https://www.w3.org/TR/did-core/ より引用 did URIスキームのID http, httpsのようなイメージです DID method DIDを運用する仕組みの種類です PitPaでは、did:webやdid:ethrを使用してます その他のDID Methodの種類についてはこちらをご参照ください DID Method-Specific Identifier DID Methodの中の特定のIDです did
iOS 16の新機能「パスキー」はこんなふうに使います2022.11.09 14:00109,008 David Nield - Gizmodo US [原文] ( mayumine ) 人類はパスワードから解放されるべき。 だってパスワードなんてものは忘れるし、ハックされて不正利用されるリスクもあるし、デジタル世界からパスワードの運用はなくなってほしい…!というわけで、各社の生体認証が進化しているわけで。 ニセ銀行サイトに指紋を入力することはできませんし、ダークウェブで自分の顔情報がダウンロードできるようになることはないはずで、ハッキングのリスクもかなり下がるはずですから。 パスワードレス化にはいくつかのアプローチがありますが、最新のiOS 16およびiOS 16.1アップデートで「パスキー」という技術が実装されました。パスキーは鍵ペアで構成され、一方の鍵は公開鍵としてログインするアプリ
コンテンツ投稿系のWebサービスでは「ユーザーのページに好きな独自ドメインを登録できる」という機能をつけたくなることがあります。ユーザーからすると「コンテンツが自分自身の所有物であること」を感じやすいですし、コンテンツのポータビリティが上がりますし、とても夢がありますよね。僕もいつか実装してみたい機能のひとつです。 しかし、この機能を提供するには、以下のようなハードルがあります。 料金 ベンダーロックイン 複雑な実装(とくに認証) (1)の料金についてはデプロイ先によります。例えばVercelであればProプラン以上であれば無制限に独自ドメインを登録できます(Unlimited custom domains for all Pro teams)。 Google Cloudの場合にはCertificate Managerで独自ドメインごとの証明書を管理するのに「ひとつあたり○USD」という感
はじめにこんにちは、TIG の吉岡と申します。Tech Blog には初投稿です。認証認可連載の 5 本目です。 業務で認証・認可に関する SaaS に触れる場面があり、そういえば OAuth, OpenID Connect の仕組みをちゃんと理解していなかったと思い、RFC を読みながら OAuth クライアントを実装してみました。N 番煎じの車輪の再発明ですが、何かの役に立てば幸いです。 ※本稿において、OAuth は基本的に OAuth 2.0 を指しますが、OAuth 2.1 にて推奨されているベストプラクティスを取り入れています。 ※本当は OpenID Connect にも触れたかったのですが力尽きました。また機会があれば書かせてください。 Prerequisitesこの記事は、次のような方々に向けて書いています。 OAuth を聞いたことがある 認証と認可の違いを認識している
10月12日(米現地時間)、米GoogleはAndroidとChromeで「パスキー」の初期サポートを始めたことを発表しました。今後はさまざまなデバイスやプラットフォームで、パスワードを使わない、より安全な認証システムが広がることになりそうです。 ↑パスキーさえあれば、どこでも入れる Googleによれば、「パスキーはパスワードやその他のフィッシング可能な認証要素に代わる、より安全性の高い認証手段」とのこと。2022年5月、同社とAppleおよびMicrosoftは、この仕組み(「FIDO認証資格情報」とも言われる)をウェブサイトやアプリで広げて行くことを約束していました。 パスキーはパスワード入力が不要になるばかりか、フィッシング攻撃(相手を騙して重要な情報を引き出すサイバー犯罪)からユーザーを守ることにも繋がります。パスキーは再利用できず、サーバー攻撃で漏えいする恐れもないとのことです
Googleが2022年10月12日、パスワードの代わりに指紋認証や顔認証を利用してウェブサービスにログインする認証システム「パスキー」を、AndroidおよびChromeでサポートすることを発表しました。ユーザーはパスワードなしの認証システムを使うことにより、ハッキングやサーバー情報漏えいといった問題から保護されるとのことです。 Android Developers Blog: Bringing passkeys to Android & Chrome https://android-developers.googleblog.com/2022/10/bringing-passkeys-to-android-and-chrome.html Google Online Security Blog: Security of Passkeys in the Google Password Ma
米Googleは10月12日(現地時間)、AndroidとChromeで、5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「パスキー」(正式名称は「マルチデバイス対応FIDO認証資格情報」)のサポートを年内に開始すると発表した。 パスキーは、パスワードに代わるより安全な手段として開発された。また、SMSやアプリによるワンタイムパスコード、プッシュベースの承認などによる従来の2要素認証をも置き換えられる。 業界標準のAPIとプロトコルに基づいて公開鍵暗号化を使うことで、フィッシング攻撃を回避できるとGoogleは説明する。 パスキーは、ユーザーのPCやスマートフォンなどに暗号化された秘密鍵として保存される。秘密鍵を作成すると、オンラインサービス側で対応する公開鍵のみが保存され、そのオンラインサービスにログインしようとすると、サービス側が秘密鍵の署名を検証す
はじめにこんにちは。フューチャーの棚井龍之介と申します。認証認可連載の 4 本目を担当しました。 認証認可周りは最近触りたてでして、普段の開発業務では、Go・React・AWS を利用しています。 先日、React ベースのモバイル向け Web アプリに Auth0 の認証を実装したところ、Silent Authentication(サイレント認証)のタイミングでブラウザからトークンが消失し、ログイン状態が維持できない現象に遭遇しました。 調べたところ、Safari に搭載されているトラッキング防止機能の ITP(Intelligent Tracking Prevention / インテリジェント・トラッキング・プリベンション)が原因だと判明しました。 調べる過程で、Cookie の基本的な機能からアドテク周りの技術要素、最近のプライバシー保護トレンドについて触れる機会を得ましたので、技術
株式会社みんなの銀行(取締役頭取 永吉 健一、以下「みんなの銀行」)は、国内の銀行として初めて(*1)、世界トップレベルのセキュリティ規格『FAPI』に準拠したAPI (*2)連携システムを開発しました。まずは、2022年中に参照系APIの外部連携を開始する予定です。 APIのシステム開発は株式会社ふくおかフィナンシャルグループ(取締役社長 五島 久)のシステム子会社であるゼロバンク・デザインファクトリー株式会社(取締役社長 永吉 健一、以下「ZDF」)が行い(*3)、「FAPI 1.0 Advanced」に準拠するものとして、Open ID Foundation による認定を取得いたしました。 *1:https://openid.net/certification/#FAPI_OP 参照 *2:Application Programming Interface の略。銀行と外部の事業者と
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く