先日、「ITmedia エンタープライズ」の特集企画で、アイティメディアのセミナーでもよく登壇いただいている川口 洋氏にお話をうかがいました(この様子はあらためて記事が公開されるのでお楽しみに)。その中で、本論とは少々外れた内容で「中小企業ができるセキュリティ対策の第一歩は何だろう」というお話になりました。 川口氏が推奨する、有料でも入れるべきソフトウェア 川口氏はこれについて、とあるソフトウェアを全員に買ってあげることが有効ではないかと主張しました。それは「パスワード管理ソフトウェア」です。 これには筆者も完全に同意で、全従業員の端末用に購入するソフトウェアといえば、かつてはウイルス対策ソフトウェアが主流でした。しかし今では「Windows」に標準搭載されている「Microsoft Defender」で既知のマルウェアはブロックできます。そこで代わりに「有料でも使ってもらいたい」ソフトウ
複数の「Android」向けパスワードマネージャーに影響する、認証情報の漏えいにつながる恐れのある脆弱性が明らかになった。 この脆弱性「AutoSpill」は、先週開催された「Black Hat Europe 2023」カンファレンスで、国際情報技術大学ハイデラバード校(IIITH)の研究チームによって報告された。 AutoSpillは、Androidが「WebView」経由でログインページを呼び出す際に問題となる(WebViewは、ウェブブラウザーを開かなくても、アプリにウェブコンテンツを表示できるようにするOSの機能)。その場合、WebViewによって、アプリは呼び出されたウェブページのコンテンツを表示する。 その際にパスワードマネージャーを利用した場合、認証情報がWebViewだけでなく、アプリにも共有される可能性があるという。研究チームは、アプリのログインに外部サービスのアカウント
trivyとGithub Actionsを使用しTerraform設定ファイルのセキュリティスキャンを実行する仕組みを作りました - コネヒト開発者ブログ
この記事はコネヒトアドベントカレンダー21日目の記事です。 コネヒト Advent Calendar 2023って? コネヒトのエンジニアやデザイナーやPdMがお送りするアドベント カレンダーです。 コネヒトは「家族像」というテーマを取りまく様々な課題の解決を 目指す会社で、 ママの一歩を支えるアプリ「ママリ」などを 運営しています。 adventar.org はじめに コネヒトのプラットフォームグループでインフラ関連を担当している@yosshiです。 今年の7月に入社してから早いもので半年が経ちました。時が経つのは本当に早いですね。 今回のブログでは、セキュリティスキャンツールであるtrivyを使って、自動的にIaC (Infrastructure as Code)スキャンを実行する仕組みを構築した話をしたいと思います。 弊社ではインフラ構成をTerraform利用して管理するようにして
Webブラウザと拡張機能の組み合わせは便利だが、セキュリティホールを生み出してしまうこともある。Amazon.comやGmailのパスワードを第三者が盗む方法を研究チームが発見した。 Webブラウザと拡張機能を組み合わせることで利便性が増す一方で、セキュリティホールを生む原因にもなり得る。 あまりにも簡単にパスワードが手に入る ウィスコンシン大学マディソン校の研究チームが2023年8月30日に発表した論文によれば、Amazon.comやgmail.comが入力されたパスワードを一時的に保持する方法に欠陥があり、あるWebブラウザの拡張機能を使うと、第三者がパスワードを読み取れる可能性があるという。これは現実的な危険なのだろうか。 結論から言えば現実的な危険だ。理由は2つある。理由の一つはトラフィックの多いWebサイトの一部にセキュリティ設計が甘いものがあること。もう一つの理由は、悪意のある
Malwarebytesは1月11日(米国時間)、「Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes」において、Googleアカウントのセッション情報が窃取された可能性のある場合に取るべき対策について伝えた。Googleアカウントのセッション情報は、窃取されるとGoogleのゼロデイの脆弱性によりパスワードの変更では解決しない継続的な侵害を受ける可能性がある(参考:「Google認証に不正アクセスの脆弱性、パスワード変更では不十分 | TECH+(テックプラス)」)。 Info-stealers can steal cookies for permanent access to your Google account|Malwarebytes Googleアカウン
学校が生徒用アカウントのパスワードをすべて「Ch@ngeme!(変更して!)」に変更してしまう事態が発生、全校生徒が好きな相手のアカウントにログインし放題に
アメリカの高校で、生徒全員の学校用Googleアカウントのパスワードが「Ch@ngeme!」に勝手に変更されてしまうという事態が発生しました。パスワードが「Ch@ngeme!」に変更されたことは全校生徒に通知されたため、一時的に誰でも好きな相手のアカウントにログインできる状態に陥っています。 High school changes every student’s password to ‘Ch@ngeme!’ | TechCrunch https://techcrunch.com/2023/06/29/high-school-changes-every-students-password-to-chngeme/ 海外メディアのTechCrunchが独自に入手した情報によると、アメリカのイリノイ州にあるOak Park and River Forest(OPRF)高校が、保護者に「ベンダーに
PCに付箋でパスワードをペタリ → ずさんな管理だと思ったら…… セキュリティ意識が高いのか低いのか分からなくなる“ステッカー”が話題
ハッキングやサイバー攻撃に備え、「管理ずさんだけどパスワード頑丈すぎるやつ」になれるアイテムが、X(Twitter)で3万件以上のいいねを集める話題となっています。セキュリティ意識が、高いのか低いのか……。 投稿者は、エンジニア兼“セキュリティ芸人”として活動するアスースン・オンライン(@asusn_online)さん。アルファベットの大文字と小文字、数字や記号がランダムに組み合わさった長くて複雑なパスワードを、ステッカーに印刷してパソコンに貼ってしまうという大胆な管理法です。 見ながらでも打ち込むのが難しそう 本人ですら入力するのに苦労しそうな文字列は、画面の向こうの第三者が解読することは困難でしょう。おまけに常に目の付く場所に貼っておけば、パスワードを忘れてしまう心配もないので一石二鳥。しかしその分、PC本体を見られたら一発でセキュリティを突破されてしまうという問題はありますが……。
ついにGoogle ChromeでiCloudキーチェーンが使えるようになった!その方法は? | ライフハッカー・ジャパン
「これ、マストだわ」モニター購入して気づいた、あったほうがいい周辺機器4選 #Amazon新生活セール
パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023) - Money Forward Developers Blog
English version of this article is available here. はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 前回のパスキー利用状況レポート vol.1から3ヶ月ほど経過しました。その後エンドユーザーのみなさんに向けたプロモーションも実施し、順調にパスキー利用者数が伸びています。 パスキープロモーションの進捗 2023年6月から、マネーフォワード ME という家計簿アプリのユーザー向けにパスキーの登録を促すプロモーションページの表示を開始しました。 現在パスキー未登録なユーザーがパスワードを使ってマネーフォワード ME にログインすると、以下のようなプロモーションページが表示されるようになっています。 プロモーション対象は開始当初は1%ほどに限定していましたが、7月終わりごろから全マネーフォワード ME ユーザー向けに対
re:Invent 2023で感じたセキュリティの民主化と生成AI活用の未来 / The future of security democratization and generative AI as I felt at re:Invent 2023
AWS目黒で実施された「AWS re:Invent 2023 re:cap LT 大会」で発表した資料
家庭用Wi-Fiルーターが乗っ取りに 初期パスワードは危険 サイバーテロにつながる可能性も(テレビ愛知) - Yahoo!ニュース
インターネットの接続にWi-Fiルーターを使っている方も多いと思います。しかし、知らないうちに乗っ取られる危険性が指摘されています。放っておくと、サイバーテロにつながるかもしれません! 今回は「家庭用Wi-Fiルーター乗っ取り」の手口や対策を取材しました。 「Wi-Fiルーターの乗っ取り」について、成蹊大学・客員教授の高橋暁子さんに話を聞きました。 家庭用Wi-Fiルーターを乗っ取りに来るのは、海外のハッカーです。ハッカーの目的は日本の企業の機密情報を盗むことや、企業活動そのものをサイバー攻撃によって妨害すること。ただ、日本国内の企業のコンピューターは海外からのインターネット接続をブロックする防衛策を講じていることが多く、ハッカーは乗っ取った国内の一般家庭のWi-Fiルーターを経由して、国内から接続しているように見せかけるのです。
FacebookやYahooのパスワード2500万件以上を含む100GB超えのデータがダークネットで取引されていることが判明
個人情報が流出しているかどうかをチェックできるサービス「Have I Been Pwned?」の設立者であるトロイ・ハント氏が、FacebookやYahooなどのパスワード2500万件以上を含む104GBものデータがダークウェブサイトで取引されていることを報告しています。 Troy Hunt: Inside the Massive Naz.API Credential Stuffing List https://www.troyhunt.com/inside-the-massive-naz-api-credential-stuffing-list/ Researcher uncovers one of the biggest password dumps in recent history | Ars Technica https://arstechnica.com/security/20
ラクラムシ「今回は C++ に関する内容ですね!」 謎の女性「どういった内容ですか?」 ラクラムシ「 C++ でコンパイル時にパスワードを要求する方法について説明していきます!」 謎の女性「よろしくお願いします!」 この記事では、C++ でコンパイル時にパスワードを要求する方法について説明します( UNIX 系の環境に限ります)。 コンパイル時パスワード認証 みなさんは、プログラミングをするときにソースコードを公開していますか? ソースコードを公開することで、ほかの人にバグを指摘してもらったり、新機能を提案してもらったりすることができます。 ソースコードを共有できるサイトはいろいろありますが、代表的なものに GitHub があります。 GitHub は無料で利用できるので、ソースコードを共有してみたいという人は使ってみましょう! しかし、「コードを見られるのはいいけど、勝手にコンパイルされ
IAM Identity Centerでもaws-vaultでセキュアにAWS CLIを使う - Nealle Developer's Blog
こんにちはSREチームの宮後(@miya10kei)です。最近、トリュフナッツにハマりビール🍺の消費量が増えています。 AWS CLIを使用する時にaws-vaultは使っていますか? AWSのユーザ管理をAWS IAM Identity Centerに移行した際にaws-vaultの設定でつまずいたので解決方法を紹介したいと思います。 AWS IAM Identity Centerとは? 複数の AWSアカウントやアプリケーションへのワークフォースのアクセスを一元管理するためのサービスです。外部IDプロバイダーと接続しSSO(シングルサインオン)連携をすることができます。ニーリーではGoogle Workspaceと連携させGoogleアカウントでログインできるようにしています。 aws-vaultとは? aws-vaultはAWS CLIを使用する際の認証情報を安全に保存し、アクセス
結局アナログが1番。このカードのおかげでパスワードの生成・管理が一気にラクになった | ライフハッカー・ジャパン
使い回しを避けたり定期的に変更したりといった、パスワードの運用法に頭を悩ませている方も多いのではないでしょうか。 いくらセキュリティ上の観点からは重要だとわかっていても、複雑なパスワードが増えすぎると覚えておくのも大変。自らかけたカギでサービスから締め出されるくらいなら、脆弱性に目をつむったほうがまし、とのリスキーな思想に陥ってしまいがちです。 「PassCard」は、アナログでパスワード生成できるアイデアプロダクト。強力なパスワードを実質無限に生成できる「PassCard」を試してみたところ、シンプルにパスワード管理できそうだとわかったので内容をご紹介していきます。 生成するパスワードが安心安全Photo: 山田洋路サービスごとに一意なパスワードを生成する手法として、「置換暗号」を利用したものがあります。アルファベット配列やキー配列をもとに、“右に1字ずらす”といったルールを設けて文字列
パスワードマネージャーの「LastPass」でユーザーがアカウントから締め出されパスワード情報にアクセスできなくなる事態が発生
パスワードマネージャー「LastPass」で、ユーザーがLastPassアカウントから締め出されるという事態が発生しています。原因はLastPassアカウントの多要素認証設定をリセットしなければいけなくなったことにあるそうです。 LastPass users furious after being locked out due to MFA resets https://www.bleepingcomputer.com/news/security/lastpass-users-furious-after-being-locked-out-due-to-mfa-resets/ Some LastPass users are locked out of their accounts after trying to reset their authenticator app - gHacks T
パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita
この記事は「パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題 - Qiita」の続編です。 前回までのあらすじ SQLインジェクションによる影響として、認証回避の例がよく紹介されます。よくある「'OR'a'='a」を入力するパターンはよく見かけるところですが、パスワードがハッシュ値で保存されているケースについても認証回避が可能なケースがあることを示しました(参考:解答編)。 パスワードがペッパー付きハッシュ値で保存されているとどうなる? 今どきはパスワードはソルト付きハッシュ値で保存することが常識になっていますが、加えて「ペッパー(pepper)」というものを付加した方がよいという流れになってきています。ソルトがユーザー毎に異なる文字列であるためにハッシュ値とセットで保存するのに対して、ペッパーは固定値であるもののデータベースとは別の安全な場所に
「石川や 浜の真砂は 尽くるとも 世に盗人の 種は尽くまじ」。これは石川五右衛門の辞世の句だと言われています。砂浜の小さな粒を全て取り尽くしたとしても、世の中に泥棒がいなくなることはない、という意味です。 筆者はサイバーセキュリティで今起きている現象と重なる気がして、ふと上記の句を思い出しました。サイバーセキュリティで“尽きない”と言えば「パスワード」ネタです。というわけで今回もパスワードの話をピックアップしたいと思います。 パスワードをちょっと変えただけでは使い回しと大差ない 「ITmedia NEWS」で山下裕毅氏による「パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表」という記事が公開されました。 これはタイトル通り、パスワードを少し変えて使い回しを防止したとしても、攻撃側はそれを予測できてしまうという研究結果です。記事によ
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/01997881325332bcbeca491a7a712a5024e39095/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cognito.png)
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2024 年 5 月 2 日に米国の Microsoft Entra (Azure AD) Blog で公開された Public preview: Expanding passkey support in Microsoft Entra ID の抄訳です。ご不明点等ございましたらサポート チームまでお問い合わせください。 パスワードというものを本気でこの世からなくしたいと思っています。パスワードという仕組みをこれ以上よくする方法というのは実質的にない のです。多要素認証 (MFA) を利用するユーザーが増えるにつれて、攻撃者は Adversary-in-the-Middle (AitM) フィッシングやソーシャル エンジニアリング攻撃をより多用しています。これらの攻撃は、ユーザーが意図せず認証情報を攻撃者
Googleの2段階認証用物理キー「Titan セキュリティ キー」に「パスキー」対応バージョンが登場、パスワード入力すら不要に
Googleは生体認証やPINコード(暗証番号)だけで安全にアカウントへサインインするための仕組み「パスキー」の導入を進めています。パスキーを使えばサインイン時にパスワードを入力する必要がなく、場合によってはスマートフォンのロックを解除するだけでサインインすることが可能になります。そんなパスキーを採用した新しいバージョンの「Titan セキュリティ キー」をGoogleが発表しました。 A new Titan Security Key is available in the Google Store https://blog.google/technology/safety-security/titan-security-key-google-store/ 「Titan セキュリティ キー」は2段階認証に用いる物理キーで、USB Type-AとUSB Type-Cに対応したタイプがあり、I
開発本部 MIXI M事業部の ritou です。 MIXI M|ミクシィエム - 決済やアカウント認証、個人データを管理する統合プラットフォームサービス MIXI Mは、認証から決済までワンストップで提供できる基盤システムおよびWALLETサービスです。 認証に関しては、MIXI Mとして提供しているサービスのID管理だけでなく、社内外のサービスにID連携機能を提供するIdentity Providerでもあります。決済に関しては最近、PCI 3DSの準拠認定についての記事が公開されていますので、こちらもぜひご覧ください。 MIXI MにおけるPCI 3DS準拠のための道のり | by k-asm | Sep, 2023 | MIXI DEVELOPERS この投稿では、MIXI Mのパスキー対応について紹介します。 これまでのユーザー認証 MIXI Mでは、サービス開始当初からパスワー
Googleは2023年5月に、パスワードではなく顔や指紋などの生体情報やPINでアカウント認証を可能にする「パスキー」に対応しました。そして、2023年10月10日から、個人のGoogleアカウントでパスキーをデフォルトオプションとして提供することを発表しました。 Passkeys are now enabled by default for Google users https://blog.google/technology/safety-security/passkeys-default-google-accounts/ パスキーは、パスワードレス認証技術「FIDO」を推進するFIDOアライアンスとウェブ技術の標準化団体であるW3Cが共同で定めたパスワードレス認証技術です。認証資格情報をクラウド経由で同期し、スマートフォンの顔認証や指紋認証でアカウント認証を進めることができます。A
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた | DevelopersIO
OktaとAWSサービスのシングルサインオン連携をするため、Okta Starter Developer Editionを登録してみた はじめに AWSサービスのうち、以下のサービスでは、ユーザー認証のシングルサインオン (SAML 2.0 ベースのフェデレーション認証)に対応しています。 AWS IAM Identity Center Amazon WorkSpaces Amazon AppStream 2.0 AWS Client VPN OktaとAWSのシングルサインオンを試したいと思った時、Okta Starter Developer Editionが無料で利用できることを知りました。 Okta Starter Developer Editionとは、Oktaの認証、認可、ユーザー管理の機能をアプリに組み込む開発者向けに無料で提供されています。 一部制限がありますが、Oktaの機
Cloudflare Workers の環境変数のドキュメントを読むと分かりますが wrangler.toml に記述した環境変数をローカル環境のみ .dev.vars に記述した環境変数で上書きしてくれます。 ここで、ローカルから外部の API を叩いて API の動作を確認したいケースがありますが、皆さんはどのようにして API キーなどの共有をされてますか? NOT A HOTEL では 1Password に開発環境用のクレデンシャルを保存してチームで共有しています。.dev.vars は以下のようになってます。 GCP_SERVICE_ACCOUNT='{"type":"service_account","project_id"...}' OPENAI_API_KEY="sk-gET5lej..." FIREBASE_AUTH_DOMAIN="localhost:8788" GI
「パスキー」とパスワードの違いって何?
IT業界はパスワードを廃止し、より優れた認証方式へと移行しようとしている。パスワードの安全性は十分ではないからだ。パスワードに代わる認証方法として、AppleやGoogle、Microsoftは「パスキー」を選択した。パスキーはなぜパスワードよりも「強い」のだろうか。 パスキーとパスワードは何が違うのか パスキーは従来のパスワードとはそもそも何が違うのだろうか。 パスワード管理ソリューションを提供する1Passwordは、数回に分けてパスキーと従来のソリューションの違いを解説した。前編ではパスキーとパスワードの違い、パスキーと多要素認証の違いを紹介しよう。 Webアプリケーションにサインインする場合を考えてみよう。パスワードを使う場合、アカウント作成時にまず短い文字列を決めておく。これがパスワードだ。サインイン時に文字列を入力して、これが元の文字列と一致すればアクセスが可能になる。 パスキ
iOS 17.3の新機能。盗んだiPhoneで好き勝手はさせない2023.12.15 12:30186,284 Dua Rashid - Gizmodo US [原文] ( 福田ミホ ) 逆に現状ってけっこう怖い。 今まで、iPhoneが盗まれた場合のApple(アップル)の対策は、まあまあ手薄でした。盗んだ人にパスコードを見られてしまってたら、すべてを引き渡すも同然です。 でも最新のiOS 17.3ベータで、ついに強力な安全策が導入されました。 今まではパスコードが命綱これまでiPhoneの中の大事なデータを守ってきたものって、4ケタか6ケタの数字のパスコードでしかありません。写真も動画も、iCloudに入ったデータも、いろんなパスワードも、そしてお金も、iPhoneとパスコードさえあれば使い放題になっちゃうんです。 パスコードがわかれば誰でも、iPhoneからログアウトしたり、違うAp
パスワードレス認証は、ユーザー名とパスワードを使う従来の認証方法よりはるかに安全性が高い。基本的には、デバイス、例えばスマホ上で暗号鍵を使ってアカウントにログインするという仕組みだ。この手法を用いると、アカウントが悪意のあるユーザーによってハッキングされる可能性は大幅に低下する。しかも、自分のアカウントにログインするときに長ったらしいパスワードを入力する必要もなくなる。ログイン試行についてスマホ上で「OK」を押せば、それだけでログインできるのだ。 パスワードレス認証なら、従来の認証に対する一般的なハッキング手法、例えば総当たり攻撃、クレデンシャルスタッフィング、フィッシング、キーロギング、中間者攻撃などを回避できる。 ありがたいことに、Googleの(自分のアカウントで完全なパスワードレスが実現する)パスキー作成プロセスは簡単だ。その方法と、設定すべき理由を紹介しよう。 ただし、この設定で
東京の人材派遣会社の元社員が、取引先の情報を管理するシステムに不正にアクセスし、転職先の同業他社に提供したとして警視庁に逮捕されました。 逮捕されたのは、埼玉県川口市の会社員、人見正喜 容疑者(43)です。 警視庁によりますと、おととし6月から去年9月の8回にわたり、以前勤めていた東京の人材派遣会社の名刺情報管理システムに元同僚のIDなどを使って不正にアクセスし、取引先などの情報を転職先の同業他社に提供したとして不正アクセス禁止法違反などの疑いが持たれています。 元の勤務先では、同僚のパソコンのログインパスワードを知る立場にあったということで、名刺情報管理システムでも同じパスワードを使用していた同僚のIDを使って不正にアクセスしたということです。 転職先では、部下にIDとパスワードを伝えて数万件の名刺データを見られるようにしていたということで、これをもとに営業活動を行い、実際に契約が成立し
AWS IAM の結果整合性を避けるためセッションポリシーを用いてポリシーの動作確認を行う | DevelopersIO
IAM ポリシーを変更するとそれが伝播するまで待つ必要があります。IAM ポリシーはそのままにして、セッションでのみ有効なセッションポリシーを変更しながら使えばその影響を回避できます。 IAM リソース変更の即時反映を期待してはだめ コンバンハ、千葉(幸)です。 AWS IAM は結果整合性が採用されています。 *1 言い換えれば、変更が即時に反映されることは保証されていません。例えば以下の操作を行ったとします。 IAM ユーザー A に唯一アタッチされた IAM ポリシー P に、EC2 操作を許可する権限を追加する IAM ユーザー A の認証情報を利用して EC2 の操作を行う このとき無条件に 2 が成功することを期待したくなりますが、1 からの実行間隔が短いと失敗することもあります。最終的には結果整合性により「成功する」に収束しますが、数秒なり数分間なりは 1 の変更前の権限で評
IDやパスワードを入力することなくアカウントにログインできるパスワードレス認証の「パスキー」が注目されている。Webサービスでの対応が進み、一部の企業でも導入が始まった。 パスワードを使わないため、フィッシング詐欺などの被害を避けられる。またパスワードを用いた認証と異なり、生体情報やPIN(暗証番号)などの大事な認証情報がネットワーク上を流れない点が特徴だ。 ではパスキーは具体的にどのような仕組みで認証をしているのだろうか。以下で解説しよう。 認証情報から「鍵」を作成 現状、パスキーという言葉は複数の意味で使われている。この特集ではFIDO2(Fast Identity Online 2、ファイド2)という仕様に基づいた、複数の端末(マルチデバイス)に対応するパスワードレス認証を指す。 そこでまずはFIDO2について説明しよう。FIDO2による認証を利用するには、認証を受け持つ「FIDOサ
パスワードに絵文字
パスワードが好きな人はあまりいないでしょう。入力には時間がかかる上に、覚えるのも一苦労です。数字、記号、大文字を組み合わせて、一度も使用したことがない文字列を作るのも、容易ではありません。しかし、どこでも同じパスワードを使用したり、単純で短い(読み取りが容易で脆弱な)パスワードだけを使用したりすると、遅かれ早かれ、ハッキングされます。入力のしやすさ、記憶しやすさ、ハッキング耐性をすべて満たす方法はあるのでしょうか?あまり聞いたことがないかも知れませんが、パスワードに絵文字を使用することができるのをご存じですか?そうです。我々がチャットや投稿で愛用している、あのスマイルマーク😁やその他のアイコン🔐です。 現在、パソコンやスマホでは、アルファベットや句読点の記号と同じくらい当たり前に、絵文字が使われています。これは、絵文字が世界共通の文字コードUnicode標準の一部であるためです(絵文字
フリーランスライター、エディター。アスキーの書籍編集から、オライリー・ジャパンを経て、翻訳や執筆、取材などを紙、Webを問わずこなす。IT系が多いが、たまに自動車関連の媒体で執筆することもある。インターネット(とは言わなかったが)はUUCPのころから使っている。 「安全なパスワード」は永遠の課題 パスワードの安全性や運用方法、常識は時代とともに変化しているが、パスワード関連の脆弱性や新しい攻撃手法についての話題は尽きることがない。パスワードはセキュリティ業界において永遠の課題の1つなのだ。 利便性、コストなどを考慮した現実的なセキュリティにおいては、パスワードに勝る認証方法がないのは事実であるが、パスワードは完全な認証方法でもなければ、安全を保障するものでもない。 この認証方法においては、広く普及したことがかえって安全性や信頼性を下げている。増えすぎたパスワードや煩雑な規定が、パスワードの
面倒なルールが次々と襲い掛かりいつまで経ってもパスワードが設定できないパスワード設定ゲーム「The Password Game」
ひと昔前までは「123456」や「password」のような単純なパスワードが広く使用されてきましたが、近年はパスワード設定時に「大文字を1字以上追加してください」などのルールを提示することで、ユーザーが単純過ぎるパスワードを設定できないようにしているサイトやアプリも多く存在します。そんなパスワード設定時のルールをどんどん追加していき、いつまで経ってもパスワードが設定できないというパスワード設定ゲーム「The Password Game」が登場しました。 The Password Game https://neal.fun/password-game/ The password game is out now! Good luck 👹 > https://t.co/kXhmbHqYTK pic.twitter.com/d6lbnfHrbx— Neal Agarwal (@nealagar
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードは“覚えるもの”という先入観はそろそろ捨てませんか?
「Android」向けパスワードマネージャーから認証情報が漏えいする恐れ
「Google Chrome」でパスワードがダダ漏れに そのカラクリとは?
Googleアカウントが不正アクセスを受けた、パスワード変更以外の対処は?
Windows PCで接続中の無線LANのパスワードを確認 ~これからは「設定」アプリで
「過去に用いた2つ以上のパスワードから、変更後のパスワードを推測する手法」が発表され話題に【やじうまWatch】
パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
【Mac Info】 パスワードに代わる認証方法「パスキー」をAppleデバイスで上手に活用しよう!
個人の「Google アカウント」でパスワードレス認証「パスキー」がデフォルト提供開始/最新の「Windows 11」もパスキーに対応済み
「admin」「12345」など脆弱なデフォルトパスワードを禁じる法律、英国で施行【やじうまWatch】
C++ コンパイル時パスワード認証 〜コードを不正コンパイルから守ろう!〜 - Qiita
パスワードの使い回しはNGで“ちょっと変えても”意味がない ではどうする?
パブリック プレビュー: パスキーのサポートを Microsoft Entra ID に拡張
パスワードレス認証をより安全便利に - MIXI Mがパスキーに対応しました
Googleアカウントで「パスキー」認証がデフォルトに、パスワードレスがさらに加速
1Password の情報を基に .dev.vars を作成する
iOS 17.3の新機能。盗んだiPhoneで好き勝手はさせない
グーグルアカウントでパスキーを設定する方法--パスワード不要で安全・簡単にログイン
前職の名刺管理システムに不正アクセス 転職先に提供か 会社員を逮捕 | NHK
大事な情報はネットワークに流さない、パスワードレス認証「パスキー」の巧みな仕組み
パスキーとは何か? アップルやグーグルがなぜ「パスワードレス」を採用するのか