GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う:この頃、セキュリティ界隈で 人気ゲーム「グランド・セフト・オート」(GTA)などを手掛けるゲームメーカーの米Rockstar Gamesや米Uber Technologiesのネットワークが不正侵入を受け、情報が流出する事件が相次いだ。同じような被害は過去にMicrosoftやCisco、Twitterなどの大手でも発生している。各社とも、そうした侵入を防ぐために多要素認証を設定して従業員のアカウントを保護していたが、攻撃者は「MFA Fatigue(多要素認証疲れ)」攻撃と呼ばれる手口を使ってMFA(多要素認証)を突破していた。 多要素認証で守られたアカウントは、ユーザー名とパスワードを入力してログインしようとすると、登録された端末に電話をかけたりプッシュ通知を送信したりする方法で、そのログイン
TechCrunch
Storz & Bickel is the OG maker of cannabis vapes, and the company just revealed its first all-new product since 2014. Called the Venty, the dry herb vape builds on the runaway success of the Might
コンテンツ投稿系のWebサービスでは「ユーザーのページに好きな独自ドメインを登録できる」という機能をつけたくなることがあります。ユーザーからすると「コンテンツが自分自身の所有物であること」を感じやすいですし、コンテンツのポータビリティが上がりますし、とても夢がありますよね。僕もいつか実装してみたい機能のひとつです。 しかし、この機能を提供するには、以下のようなハードルがあります。 料金 ベンダーロックイン 複雑な実装(とくに認証) (1)の料金についてはデプロイ先によります。例えばVercelであればProプラン以上であれば無制限に独自ドメインを登録できます(Unlimited custom domains for all Pro teams)。 Google Cloudの場合にはCertificate Managerで独自ドメインごとの証明書を管理するのに「ひとつあたり○USD」という感
スマホを壊してGoogle製二要素認証アプリのバックアップコードが生成不能になったという体験談、バックアップ方法はこれ
ワンタイムパスワードを用いた二要素認証は、ウェブサービス利用時のセキュリティ向上に役立ちます。しかし、Google製ワンタイムパスワード発行アプリ「Google認証システム(Google Authenticator)」の利用者からは「スマートフォンを壊した結果、Google Authenticatorのバックアップコード再発行が不可能になった」という報告が寄せられています。 Tell HN: It is impossible to disable Google 2FA using backup codes | Hacker News https://news.ycombinator.com/item?id=34441697 Google Authenticatorは、各種ウェブサービスにログインするためのワンタイムパスワードを発行するアプリです。例えば、以下はDiscordにログインする際
米Googleは4月24日(現地時間)、2段階認証アプリ「Google Authenticator」(日本では「Google認証システム」)をアップデートし、ワンタイムコードを端末ではなく、Googleアカウントに(つまりクラウドに)保存するようにしたと発表した。これで端末を紛失してもロックアウトされることがなくなり、機種変更時の移行作業も不要になる。 Google認証システムは2010年にリリースされた、サービスやアプリへの2要素認証(2FA)によるログインで利用できるアプリ。AndroidだけでなくiOS版もあり、TwitterやFacebookなど多数のサービスで利用できる。 これまではワンタイムコードを1つの端末にしか保存できなかったため、その端末を紛失したり盗難されたりすると、このアプリを使って2FAを設定したサービスやアプリにログインできなくなっていた。 既にこのアプリを使って
はじめにこんにちは。TIG の吉岡です。秋のブログ週間 10 本目の投稿です。 2022年の 5 月に Apple, Google, Microsoft そして FIDO Alliance が マルチデバイス対応FIDO認証資格情報 を発表してから、パスワードレス技術に対する注目が高まっています。1 パスワードレスの概要について調査してまとめてみました。 目次 私たちとパスワード パスワードの抱える問題 パスワードマネージャ 公開鍵暗号の活用 パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来 私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが
Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー(Passkeys)」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か? 理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋/顔認証を備えたiPhone、Androidなどでアクセスしてみよう。
Twitterのショートメールを使った2要素認証が2023年3月20日以降は有料に、無料のまま2要素認証を有効にする方法は?
Twitterはアカウントのセキュリティを強化するための方法として2要素認証(2FA)を提供しています。2FAでは「ショートメール」「認証アプリ」「セキュリティキー」の3つのいずれかを使って認証を行うこととなるのですが、このうちショートメールを使ったものを有料化するとTwitterが発表しました。 An update on two-factor authentication using SMS on Twitter https://blog.twitter.com/en_us/topics/product/2023/an-update-on-two-factor-authentication-using-sms-on-twitter Twitter to charge for SMS-based two-factor authentication - 9to5Google https://
【認証】JWTについての説明書
はじめに この記事を読んでいるあなたはJWTについて知っているだろうか?JWTは、認証されたユーザを識別するために最も一般的に使用される。JWTは認証サーバから発行されて、クライアント・サーバで消費される。 今回の記事では、Webアプリケーションの認証方法として最も利用されているJWT認証を簡潔に解説する。 本記事の読者の対象 JWT認証について知らない人 JWTのメリット・デメリット、仕組みについて詳しく知りたい人 アプリケーションの認証方法について詳しく知りたい人 JWTとは JSON Web Token(JWT)とは、クライアント・サーバの間で情報を共有するために使われる規格の1つである。JWTには、共有が必要な情報を持つJSONオブジェクトが含まれている。さらに、各JWTはJSONのcontentsがクライアントあるいは悪意のあるパーティによって改ざんされないように、暗号(ハッシュ
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア インターネットにおけるパスワードレスの実現を推進する「FIDO Alliance」は、 Apple、Google、マイクロソフトの3社が、同団体が推進するパスワードレス認証のサポートを拡大すると発表しました。 Today, we are excited to share that @Apple @Google @Microsoft are aligned with this vision and will be implementing multi-device FIDO credentials over the course of the coming year! https
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など
最新のGoogle Chrome 108で「Passkey」が利用可能に。Googleアカウントでクレデンシャル同期など 12月2日から配布が開始されている最新のGoogle Chrome 108では、パスワードレスを実現する機能の「Passkey」がWindows 11、macOS、Android版で利用可能になっていることをGoogleが明らかにしました。 下記はブログ「Introducing passkeys in Chrome」で紹介されているAndroid版ChromeでのPasskey利用時の画像のキャプチャです。 Chromeは以前から業界標準のパスワードレス技術であるWebAuthn/FIDOに対応しており、パスワードを使わずデバイス側での指紋認証やPINコードなどによる認証によりWebサイトへログインできる機能を備えていました。 参考:Chrome 70から、WebAut
無料で二要素認証ができ安全にバックアップ&デバイス間でエクスポートもできるオープンソースアプリ「Aegis Authenticator」レビュー
ウェブサービス利用時のセキュリティを強固にする手法の1つに「ワンタイムパスワード発行アプリを用いて二要素認証を行う」とうものがあります。しかし、ワンタイムパスワード発行アプリとして広く使われている「Google認証システム(Google Authenticator)」には「アプリ公開から長らくエクスポート機能がサポートされていなかった」「端末を壊すとバックアップコードの再発行が不可能になる」といった問題が存在しています。オープンソースで開発されている「Aegis Authenticator」なら、無料でワンタイムパスワード発行環境を整えつつ「認証情報を自由にエクスポート可能」「ワンタイムパスワードの閲覧にパスコードや指紋認証を要求可能」といった便利機能も使えるとのことなので、実際にインストールする手順や使い方をまとめてみました。 Aegis Authenticator - Secure 2
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GTA新作リークに使われた“多要素認証疲れ”攻撃とは 1時間以上通知攻め、従業員の根負け狙う
Webサービスで「ユーザーページに独自ドメインを登録できる」機能を提供するのがなぜ難しいか
「Google認証システム」がアカウント同期に 機種変が気楽に
パスワードレス技術の現状と未来について | フューチャー技術ブログ
「パスキー」って一体何だ? パスワード不要の世界がやってくる
アップル、グーグル、マイクロソフトの3社「FIDO」新機能サポートを表明――スマホの指紋認証でパソコンのWebサイトログイン可能に
iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉
