パスキーに入門してみた話 - Qiita
久しぶりの投稿です。 はじめに 昨今、様々なサイトがどんどんパスキーに対応しはじめてきました。 まだまだパスキーがデフォルトになっていくには時間が掛かりそうですが、どのような仕組みでパスキーを実装するのか、早めにキャッチアップしておくのも悪くないと思い、パスキーについて色々と調べてみました。 パスキーとは? パスワードの代わりに、自分の持つデバイスによる生体認証やパターンを用いて認証を行う方法のことです。 次世代認証技術であるFIDO(Fast IDentity Onlineの略で、「ファイド」と呼びます)を使った認証方式(詳細は後述)で、Apple、Google、MicrosoftがFIDOを普及させるために命名したブランド名になります。 FIDOとは? 脆弱なパスワードは安全ではありません。 2段階・2要素認証を採用してもそれを有効にするユーザーは少なく、昨今では2段階認証を突破する攻
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現
LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuthn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 LINE Security R&DチームがFIDO2認証標準を実装したFIDO2 ServerをOSSとして公開しました。 FIDO2-Serverは、FIDO2の登録と認証の主要部分を提供します。さまざまなWebブラウザとOSプラットフォーム、お
「二要素認証」と「二段階認証」の違い
「二要素認証」と「二段階認証」の違い 2018年8月31日 パスクリ通信 2段階認証, 二要素認証, 所有物認証, 生体認証, 知識認証 よいこ SNSやインターネットバンキングなどのサービスのセキュリティ設定の説明や、セキュリティ関連のニュースなどで、認証強化のキーワードとして「二要素認証」と「二段階認証」という言葉を見る機会が多くなってきました。この2つの言葉、似ているだけに、その違いをはっきりと分かっていない方も多いかもしれません。 今回は、間違えやすいこの2つの認証方式の違いを整理しておきましょう。 認証方式の種類 「二要素認証」と「二段階認証」の説明の前にまず、押さえてほしいのがコレ。 本人を認証する際に「何を使うか」、その方式には、主に以下の3種類があります。 ーーーーーーーーーーーーーーーーーーーーーー ・知識認証:本人だけが知っている知識で認証 例:パスワード、PINコード
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。 こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。 「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。 男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたというこ
不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog
2023年8月15日、GMWは同社が運営するサービスが不正アクセスを受けたことで、「pictBLand」及び「pictSQUARE」のデータベース情報が外部へ流出した可能性があると公表しました。また当該サービスのWebサイトを閲覧した際に別のサイトへ接続する状態になっていたことも明らかにしています。ここでは関連する情報をまとめます。 累計130万人登録のSNSに不正アクセス GMWが運営するサービスが不正アクセスを受け、pictBLandのサイトが一時改ざんされた他、データベース情報が外部に流出した可能性がある。サービスの累計登録者数は約130万人で、今回の不正アクセスによる影響を受けたアカウントの件数は約80万件。*1 不正アクセスとの関連があったとみられる事象が複数確認されており、それらは以下の通り。今後デジタルフォレンジックを行う企業へ調査を依頼することで影響範囲の特定を行うとしてお
セブン・ペイがこのほど、ログインパスワードの再設定手順を変更したことが分かった。ネット上では「解決していない」という声も上がっている。 モバイル決済サービス「7pay」で不正ログイン被害が相次いでいる問題で、運営元のセブン・ペイがこのほど、7iDのログインパスワードを再設定する手順を変更したことが分かった。第三者がユーザーの生年月日や電話番号、会員ID(メールアドレス)を知っていると、第三者のメールアドレスにもパスワードを再設定するためのメールを送れる、という問題に対処した。だが、ネット上では「解決していない」という声も上がっている。 第三者がパスワードを再設定可能 7payでは1日のリリース直後から、第三者にアカウントが乗っ取られ、残高を不正利用される被害が発生。Twitter上では「クレジットカードで計18万円不正チャージされ、9万円を使われた」といった報告が相次いだ。セブン・ペイは3
Qurage🕷 @MQurage @radio1985head パスワードを間違えてデータが消えた場合、 「はじめまして」が表記されるためデータはまだ消えてないと思います...! パスワードがわからない場合、Appleに持って行って状態を説明してもらうと復活してもらえる場合があります...!! 2021-10-11 15:14:02 ROTUS. @radio1985head @MQurage 夜行バスの中で寝て、起きたらこーなってたのでおそらくゴーストタップで6回以上間違えた感じやと思います、、 この状態になるとiPadは使用不能で、使えるようにするには初期化するしかないとのことでして、そうなると外部クラウドにデータをあげてない自分は完全に、オワリ、オワリです 2021-10-11 15:16:11
昨今、一部オンラインショップ等のサーバーに対する外部からの不正アクセスにより、クレジットカード情報やログインID・パスワードを含む個人情報が漏洩する事案が発生しております。 複数のサイトで同一のID・パスワードを使用されている場合、悪意のある第三者が外部のインターネットサービス等から不正に取得したID・パスワードを使用し、お客さまになりすまし、弊社サービスに不正ログインを行うことで、思わぬ被害に遭ってしまう危険性があります。 このような被害を減らすため、より安全なパスワード管理についてご案内させていただきます。弊社サービスのパスワードと他のインターネットサービス等のログイン用パスワードを兼用されている場合は、弊社サービスのログイン用パスワードを変更されることをお勧めいたします。 パスワードの変更はこちらを参考に行なってください。 なお弊社では、より安心してサービスをご利用いただく試みとして
なぜ『ITの7つの無意味な習慣』が無くならないのかを現場から考える - orangeitems’s diary
『ITの7つの無意味な習慣』 セキュリティー対策にて企業が導入しているいくつかの所作について、全く意味がないどころか生産性を下げているのになぜ生き残っているか、という記事が話題になっています。 qiita.com 2019年の今年は「令和元年」であるわけだが、年初はまだ「平成31年」だったので、ギリギリまだ平成ともいえる。ところで、ITの世界にもいろいろな都市伝説や根拠は薄いけれどもかっちり守られているしきたり/習慣があり、少なくとも今の世界では通用しないため本当は改善したほうがいいのだが業界的にずるずるといってしまっていることが色々と存在する。年末の今、平成を思い返したときに元IT企業に勤めていた人間として「この習慣は平成のうちに終わらせておかねばならなかっただろうに!」と悔やまれることを7つ挙げてみた。 ここでは7つの例が上がっていてそれぞれ具体性があるのですが、なぜ残ってしまっている
逆に、RFC 6749 以外で定義されている認可フローをサポートする場合、新たに別のエンドポイントの実装が必要になることがあります。例えば CIBA(Client Initiated Backchannel Authentication)ではバックチャネル認証エンドポイント(backchannel authentication endpoint)、デバイスフロー(RFC 8628)ではデバイス認可エンドポイント(device authorization endpoint)の実装が求められます。 この記事では、認可エンドポイントとトークンエンドポイントを実装します。サポートする認可フローは認可コードフローのみ、サポートするクライアント・タイプはパブリックのみとします。 2. 注意点 下記の理由、および書かれていないその他の理由により、本実装は商用利用には適していません。 セキュリティー上必須
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
はじめに つい先日、GitHubのRSA SSHホスト鍵が突如差し替えられるという一件がありました。 We updated our RSA SSH host key 詳細に関しては識者による解説に委ねますが、ちょうどタイムリーな話題だったので、SSHをより安全に利用するという観点でおすすめ設定についていくつか紹介します。 なお、クリアコードではSSH以外にもおすすめzsh設定やおすすめEmacs設定という記事も公開しているので参考にしてみてください。 2023年5月11日更新:StrictHostKeyCheckingをyesにする場合の安全なknown_hostsの更新方法について追記しました。 おすすめ設定について クリアコードでは、.ssh/configのおすすめ設定を https://gitlab.com/clear-code/ssh.d にて公開しています。 これは、社内で.ss
とあるスタバに来たら、レシートについているパスワードを入れないとトイレに入れない方式になっていた「これ、特に観光地の店舗に多い」
エスプレッソ ファクトリー @narumi45 文京区千駄木にあるカフェ、エスプレッソファクトリーで 毎日エスプレッソ淹れてます。つまらない冗談を言い続けるのが好きです。水曜日定休 ameblo.jp/esp-f/
「もしも〜だったら」を確認するパスワード保護Excelファイル (俗に言う暗号化Excelファイル) のパスワードをcrackする難易度ってどれくらいだろうか? と、ある事案 (参考リンク1) からの連想で急に確認したくなった。もちろん、事案のプレスリリースで述べられている「暗号化処理」が、Excelの機能を使ってExcelファイルをファイルレベルで保護する手法 (参考リンク2) なのか、それ以外の別の手法なのかは現時点で明らかになっていないので、これは「もしも前者だったら」の一種の私的な実証実験である。 実験の際には自分に条件を課し、手元のUbuntu環境にはもちろん純正のMicrosoft Excelは無いので、一連の内容をコマンドライン (CLI) のみでやってみようと考えた。 1. Secure Spreadsheetでパスワード保護Excelファイルを作成参考リンク3によると、次
他人に見られたくないファイルをリモートの相手に渡さなければならない場合、従来は暗号化ZIPファイルとその解凍パスワードをメールで送る、という手段が広く用いられてきた。読者諸氏もそのようなメールを一度は受信したことがあるだろう。 しかし、ZIPの暗号化など運用に手間がかかるわりにセキュリティが十分ではない、と指摘されることが多い。そこで、この方法でファイルを送るのは止めよう、という機運が高まっており、実際、内閣府と内閣官房ではこの手法を廃止すると発表している。 とはいえ執筆時点では、「これだ!」と断言できるような、代わりのファイル送信方法が確立しているわけではない。特に中小企業や個人だと、代替の方法が有償だったりシステム更新に手間がかかったりすると、おいそれと置き換えられない場合が多いだろう。できることなら、すでにある機材やソフトウェア、利用中のサービスなどで代替したいところだ。 そこで本T
スマホを壊してGoogle製二要素認証アプリのバックアップコードが生成不能になったという体験談、バックアップ方法はこれ
ワンタイムパスワードを用いた二要素認証は、ウェブサービス利用時のセキュリティ向上に役立ちます。しかし、Google製ワンタイムパスワード発行アプリ「Google認証システム(Google Authenticator)」の利用者からは「スマートフォンを壊した結果、Google Authenticatorのバックアップコード再発行が不可能になった」という報告が寄せられています。 Tell HN: It is impossible to disable Google 2FA using backup codes | Hacker News https://news.ycombinator.com/item?id=34441697 Google Authenticatorは、各種ウェブサービスにログインするためのワンタイムパスワードを発行するアプリです。例えば、以下はDiscordにログインする際
Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
kuganoius @kuganoius 擁護派おおくない? ちゃんと13桁以上のランダム英数記号のパスワード記載できる?きちんとメモするの?毎回手打ちで打ち込むの?うっかりエディタとかに貼り付けてない?会社でも使い回す?持ち歩くつもり? 私はお勧めしないよ〜 twitter.com/shinhirota/sta… 2023-05-07 02:18:57
「パスキー」とは、パスワードの代わりにアカウントの認証ができる仕組みです。 お手元のスマートフォンなどの機器にあらかじめ保存したお客様の認証情報を生体認証(指紋・顔)などで呼び出して、認証情報を基に生成したデータをニンテンドーアカウント側で照合することで認証します。 ※生体情報は機器上の認証時にのみ使用され、サーバーには送信されません。
制度関連のNEWS|メール添付のファイル送信について|プライバシーマーク制度|一般財団法人日本情報経済社会推進協会(JIPDEC)
昨今、個人情報を含むファイル等をメールで送信する際に、ファイルをパスワード設定により暗号化して添付し、そのパスワードを別メールで送信することについて、お問合せを多くいただいております。 プライバシーマーク制度では上記の方法による個人情報を含むファイルの送信は、メールの誤送信等による個人情報の漏洩を防げないこと等から、従来から推奨しておりません。 プライバシーマーク付与事業者におかれましては、個人情報を含むファイルをメールで送受信する場合、送信先や取り扱う情報等を踏まえ、リスク分析を行ったうえで、必要かつ適切な安全管理措置を講じていただきますようお願いいたします。 この件に関するお問合せ先 プライバシーマーク推進センター 電話:03-5860-7563 公開日 2020年11月18日
ITパスポートより当たり前の常識検定をしてほしい
ITパスポートって「ITを使ってる大企業で生きていくのに必要な知識検定」になってるんだけど もっともっと手前の部分で検定をしてほしい 例えば 印刷しないのに「印刷時にズレないようにエクセルの表を埋めろ」と言ってはいけないそもそも印刷しないのにA4サイズの様式を求めない計算しないのにエクセルを使わないエクセルのセル結合をしない 生半可な知識でマクロを作らない必要がないのに手書きサインを求めない印鑑を求めないWordで契約書のテンプレートがあるなら版管理機能を使うファイル名でバージョン管理せずにWindowsの「以前のバージョン」を使うパスワード定期変更はむしろパスワードに安易な文字列を設定するリスクがあるのでやめるべきPPAPを絶対にやらない 社内網からの過度なインターネットアクセス規制はシャドーITが増えるだけなのでやめるべき 高セキュアだけど使いにくい社内網はシャドーITが増えるだけなの
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
ホテルのフリーWi-Fiに接続したらFacebookとInstagramに不正アクセスされてパスワードまで書き換えられた
とりみカフェ@教育=鳥育🐥✨ @torimicafe 全国で鳥好き様を増やす為#鳥 #インコ #bird に関係する事に積極的に絡み中🐥日本初!鳥モチーフカフェを神戸で運営🐥鳥好き様 #相互フォロー/インコアイスは西武渋谷店と当店✨マツコの知らない世界など出演 →愛玩動物飼養管理士.ペット共生住宅管理士.保育士、調理師等々鳥と人を繋ぐお仕事資格多数保有🐤👫 birdcafe.jp とりみカフェ@教育=鳥育🐥✨ @torimicafe うわうわ! ホテルのフリーWiFiに接続したら、秒でFacebookの個人アカウントとInstagramに不正アクセスがあって、私のメールアドレスとパスワードが書き換えられました!😭 2024-02-04 07:00:16
はじめにこんにちは。TIG の吉岡です。秋のブログ週間 10 本目の投稿です。 2022年の 5 月に Apple, Google, Microsoft そして FIDO Alliance が マルチデバイス対応FIDO認証資格情報 を発表してから、パスワードレス技術に対する注目が高まっています。1 パスワードレスの概要について調査してまとめてみました。 目次 私たちとパスワード パスワードの抱える問題 パスワードマネージャ 公開鍵暗号の活用 パスワードレスと FIDO Alliance FIDO v1.0 FIDO2 FIDO の認証フロー Passkeys パスワードレスな未来 私たちとパスワード今日、私たちのデジタルアイデンティティはパスワードに支えられています。私たちは日々 Google で検索し、Netflix を観て、Twitter でつぶやき、Amazon で買い物をしますが
by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。 Your Pa$$word doesn't matter - Microsoft Tech Community - 731984 https://techcommunity.microsoft.com/t5/Azure-Active-Directory-Identity/Your-Pa-word-doesn-t-matter/ba-p/731984 Microsoftでセキュリティに関する仕事に従事しているヴァイネルト氏
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。 かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。 パスワードに認証以外の役割 県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを
「使える人にだけ使わせる」 ~ マネーフォワード IDのログインUXから見るパスキー普及のポイント - r-weblife
ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワード側からも解説記事が出ていました。この記事で言いたいことが全部書いてあります。 moneyforward-dev.jp ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触れる前に、マネーフォワードIDのパスワード認証のUXから見ていきましょう。 マネーフォワードの「メールアドレスでログイン」のフローを何も考えずに使うと、最初にメールアドレスを入れてからパスワード入力を求めるUXになっています。 このようなUXでブラウザのパスワードマネージャーの機能を使う場
カネも思い出もすべてを奪われる…米国で被害が急増中の「Apple ID泥棒」の卑劣すぎる手口【2023編集部セレクション】 鉄壁のセキュリティの「最大の弱点」を悪用している
被害者たちは、外出先でiPhoneを盗まれ、わずか数分後にはアカウントから閉め出される。次いで自宅のMacはログインができなくなり、24時間以内に数百万円という預金が口座から消える――。そんな事例をウォール・ストリート・ジャーナル紙が報じている。 被害のきっかけは、iPhoneの4桁または6桁の簡易的なパスコードを盗み見られたことだ。これによって、より強力なパスワードを設定したはずのApple IDのセキュリティが同時に無力化されてしまった。 同紙が今年2月に「脆弱性」として報じ、さまざまなテックメディアで取り上げられ大きな反響を呼んでいる。Appleは現時点で対策措置を発表していない。 被害はiPhoneからほかのApple製品に広がる… これはiPhoneの6桁のパスコードさえわかれば、Apple IDのアカウントを丸ごと乗っ取れる状態であることを意味する。 Apple IDとは、多く
DJRIO.eth @ REALITY on Twitter: "TikTokのアプリ内でwebサイトを開いたら、すべてのタップやパスワードふくむ全ての文字入力がTikTokに取得されている。 そういう処理をするJavascriptコードが自動挿入されていることが発見され、会社側もそれを認めた。… https://t.co/RxCNaJNiEd"
TikTokのアプリ内でwebサイトを開いたら、すべてのタップやパスワードふくむ全ての文字入力がTikTokに取得されている。 そういう処理をするJavascriptコードが自動挿入されていることが発見され、会社側もそれを認めた。… https://t.co/RxCNaJNiEd
7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では、多くの被害者が経緯をTwitterでリポートしています。そのなかでもっとも信頼できる情報を発信されているのが、めるかば氏です。めるかば氏は、ある企業で決済の仕事をされており、まさに今回の事件が起きた同じ業界にいらっしゃる方です。めるかば氏に伺った話から、被害の経緯をまとめます。 被害にあっためるかば氏の報告ツイート。一連のツイートで被害状況を詳しくリポートしている めるかば氏の被害経緯 ・7月1日:7payサービス開始にともない登録。5,000円チャージし、1度決済 ・7月3日朝:7payを利用。なぜかログア
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
Apple、Google、Microsoftという3大OSベンダーが揃ってサポートを表明している「パスキー(Passkeys)」。パスキーを使うことで、パスワードが不要になり、フィッシングや成りすまし、流出などのセキュリティ問題が一気に解決するほか、パスワードをメモしたり覚えたりする必要がなくなる。果たして、パスキーによってパスワード不要の世界はやってくるのだろうか。 パスキーでログインはこう変わる パスキーとは一体何か? 理屈や背景を説明する前に、デモサイトの「Passkeys.io」にアクセスしてみるのが分かりやすい。パスキーは生体認証とセットの技術なので、指紋認証機能を備えたPCや、指紋/顔認証を備えたiPhone、Androidなどでアクセスしてみよう。
GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020
GitHub、コードの脆弱性を発見してくれる「GitHub Code Scanning」発表、修正方法のアドバイスも。GitHub Satellite 2020 GitHubは、オンラインイベント「GitHub Satellite 2020」において、コードの脆弱性を発見してくれる新機能「GitHub Code Scanning」を発表しました。 Code scanning, powered by CodeQL, helps protect your code from vulnerabilities you might otherwise miss. #GitHubSatellite pic.twitter.com/8vGq3eFWPE — GitHub (@github) May 6, 2020 GitHub Code Scanningは、昨年買収したSemmleのソフトウェアを基にし
7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。 第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更できる (中略) なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人
2023年9月以降、Amazonアカウントの不正アクセス被害が急増しています。不正アクセス被害は2段階認証を設定しているアカウントでも報告されており、何らかの方法で2段階認証をすり抜け、ギフトカードなどを無断購入される被害が増えています。 2段階認証を設定したアカウントで不正アクセス被害が報告 2023年9月以降、Amazonアカウントの不正アクセス被害が相次ぎ発生しており、SNSなどで「ギフトカードを購入された」「2段階認証を突破された」など、被害を報告する声が増えています。 また、2段階認証(2SV)を設定していたとするユーザーからも不正アクセス被害が報告されており、何らかの方法で2段階認証がすり抜けられてしまうことがあるようです。 Amazonのアカウント、不正利用されたー 夜中にギフトカード5,000円×20枚購入されて、速攻メールでどこかに送信されたらしく、即時クレカに請求が来て
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上:この頃、セキュリティ界隈で(1/2 ページ) 不正アクセスを防ぐ対策の代表である、多要素認証。ワンタイムパスワードを実装する例が多いが、この仕組みを突破しようとする攻撃が増えつつあるという。 ネット上のアカウントに対する不正アクセスを防ぐため、今や多要素認証は欠かせない対策となった。たとえIDとパスワードが盗まれたとしても、ワンタイムパスワードの入力が必要な状態にしておけば、アカウントは守られるという想定だ。ところがその仕組みを突破しようとする攻撃が増えつつある。 暗号資産取引所大手のCoinbaseでは、顧客約6000人がSMSを使った多要素認証を突破され、暗号通貨を盗まれる事件が発生した。 BleepingComputerによると、2021年3月~5月にかけ、何者かがCoinbase顧客のアカウントに不正侵入して暗号通貨を
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
7pay「組織的攻撃の可能性」専用パスワードでも被害 | NHKニュース
7payのパスワード再設定に脆弱性、運営元が対策 「解決していない」との指摘も
本人のメルアドを使うのはもはや時代遅れ? 「1Password」が捨てメール機能を正式実装【やじうまWatch】
気付いたらiPadの全てのデータが消去されていた…その原因はBluetoothキーボードだった
【重要】パスワード管理に関するお知らせ - Kyash お知らせ
OAuth 2.0 の勉強のために認可サーバーを自作する - Qiita
Yahoo! JAPAN はパスワードレス認証で問い合わせを 25% 削減、ログイン時間も 2.6 倍速に
おすすめ.ssh/config設定 - 2023-04-03 - ククログ
暗号化Excelファイルのパスワードを「Amagasaki2022」とした場合の解析(crack)実験
「パスワード付きZIP」廃止、じゃあどうすりゃいいのか(OneDrive編)
多要素認証を私物スマホでやっていいのか問題
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワード管理ノートなる代物が売られていて日本ITの敗北を感じた→案外セキュリティ的にも悪くないのでは?という話
パスキー|ニンテンドーアカウント サポート|Nintendo
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
複雑な8文字のパスワードでも、MD5ハッシュだとGeForce RTX 4090で1時間以内に解読されてしまう
ほぼすべてのLinuxのブートローダーに脆弱性
パスワードレス技術の現状と未来について | フューチャー技術ブログ
セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか?
生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱
パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
「パスキー」って一体何だ? パスワード不要の世界がやってくる
オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを
【Amazon】2段階認証を設定したアカウントで不正アクセス被害の報告が急増(2023年9月12日)
狙われるワンタイムパスワード、多要素認証を破る闇サービスが浮上