パスキー管理アプリ作ってみた
執筆者: 張 君子, 大池 陸斗, 小岩井 航介 サービス開発1部 先日公開されたAndroid14から、Credential Provider APIによるパスキー管理ができるようになりましたので、実際にパスキー管理を行うアプリを試作してみました。 弊社内で、アプリ・サービスの開発を通して技術知識を身に着ける取り組みとして、「つくる会」という取り組みがあり、この取り組みの中で、今回の試作を行いました。 「つくる会」の詳細については、別のブログで紹介予定です。 注意:ここでの記載内容は、執筆者の個人の意見であり、会社の見解を示すものではありません。また、こちらで紹介しているソースコードは、調査・試作目的で作られたものであり、実際に利用される場合には十分ご注意ください。 また、当記事執筆時点のCredential Provider APIのバージョンはbeta02となっており、その後のアップ
先日、AWSのセキュリティに関するコミュニティ「Security-JAWS」にて、AWS環境に特化したCTFが開催されました。 これが超超超楽しくて、学びにもなったとてもいいイベントだったので、少し時間が経ってしまいましたが、writeup兼ふりかえり記を残します。 ちなみに私はCTF初挑戦でAWSも入門書を1周したくらいの知識しかありません。しかし問題の構成がよく練られていたので、私のような初心者でも時間いっぱいじっくりと楽しむことができました(GPTを駆使しつつですが)。 CTFの環境構築に作問に、と、これを準備するのは相当大変だったと思うのですが・・・運営の方々には本当に感謝です! 問題はTrivia、Warmup、Easy、Medium、Hardの5ランクに分かれていて、私はTrivia、Warmup、Easyランクの問題に挑戦しました。 緑色が正解した問題です TriviaはAW
アナハイムで開催された AWS re:Inforce 2023 に参加してきました! - カミナシ エンジニアブログ
はじめまして、2023年6月よりカミナシにセキュリティエンジニアとしてjoinした西川と言います。今回はCTOのToriと私とで参加したAWS re:Inforceについて書いていきたいと思います。 re:Inforceとは AWSのセキュリティに特化したカンファレンスでEXPO、ChalkTalk、BuildersTalkなどのセッションが存在し、ハンズオン形式だったり、みんなで話し合ったり、さまざまな形での学びを提供しています。 今回のre:InforceはMLBの大谷選手が所属しているエンゼルスの本拠地があるアナハイムで開催されました。去年はボストンで開催されていたので、来年は大谷選手が見られる!?というのは期待しないようにしましょう。ちなみにre:Inforce開催の週はエンゼルスのホームゲームがなかったので試合観戦はできませんでした(涙) re:Inforceのセッション 講師の
CISA forced to take two systems offline last month after Ivanti compromise
CISA forced to take two systems offline last month after Ivanti compromise Hackers breached the systems of the Cybersecurity and Infrastructure Security Agency (CISA) in February through vulnerabilities in Ivanti products, officials said. A CISA spokesperson confirmed to Recorded Future News that the agency “identified activity indicating the exploitation of vulnerabilities in Ivanti products the
トレンドマイクロが8月31日に発表した「パスワードの利用実態調査 2023」によれば、Webサービスの利用者のうち83.8%がパスワードを複数のWebサービスで再利用しており、その中でも41.9%が2~3種類パスワードをほぼ全てのサービスで使用していることが明らかになった。このような行動をとる主な理由は、異なるパスワードを設定すると忘れてしまうがトップの72.8%、異なるパスワードを考えるのが面倒が48.6%を占めた。また、平均して1人あたり14種類のWebサービスを利用しており、異なるパスワードを管理する負担が依然として大きいことが示唆されている(日経クロステック)。
1Passwordは2023年9月20日(現地時間)、パスワードマネジャー「1Password」がデスクトップのWebブラウザと「iPhone」および「iPad」(「iOS 17」および「iPadOS 17」)でパスキーに対応したと発表した。 パスキーを保存してサインインが可能となる他、任意のデバイスで1Passwordを使用して保存したパスキーを表示、整理、共有できる。
「Amazonを不正利用された」──SNS上で報告相次ぐ 「二段階認証を突破された」などの声も(ITmedia NEWS) - Yahoo!ニュース
「Amazon.co.jpを不正利用された」──X(元Twitter)では9月上旬からそんな投稿が相次いでいる。「Amazonギフトカードを大量購入された」「二段階認証を設定していたのに、それを突破された」などの報告が上がっている。 【画像を見る】不正アクセス被害にあったときの対処法(警察庁のページから引用)【全4枚】 Xでは「(アカウントに)二段階認証を設定していたにもかかわらず不正アクセスされ、Amazonギフトカードを大量に購入された」と被害を訴える声が多く見られる。特に話題になっているユーザーの投稿によると「注文履歴を非表示にされ、不正利用に気が付かないままクレジットカードの請求が来た」と語っている。 このユーザーがAmazonのサポートに問い合わせしたところ「同様の案件が多発している」「現状では手口が分からないのでどうやって侵入してるのか調査中」などと返事があったという。その後、
トレンドマイクロ株式会社(本社:東京都渋谷区、代表取締役社長 兼 CEO:エバ・チェン 東証プライム:4704、以下、トレンドマイクロ)は、ID/パスワードでのログインが必要なWebサービスの利用者を対象に、Webサービスおよびパスワードの利用や管理の実態を調べる「パスワードの利用実態調査 2023」を実施しました。本調査の結果は以下の通りです※1。 ※1 調査結果のパーセンテージは、小数点以下第二位を四捨五入した数値です。 ■8割以上の利用者がパスワードを使いまわし Webサービスの利用者(n=1,030)のうち、83.8%(863人)が複数のWebサービスでパスワードを使いまわしていることが分かりました(図1)。2020年の調査でも85.7%が使いまわしをしていることが明らかになっており、微減傾向は見られるものの、未だに多くの利用者がパスワードを使いまわしている状況が分かりました。 パ
現在のChrome拡張機能は「Manifest V3」と呼ばれるプロトコルに対応しており、この仕様は以前のバージョンと比べてセキュリティやプライバシーについて改善されていると評価される。だが問題が存在しないわけではない。今回、ウィスコンシン大学マディソン校の研究者らが公開した論文がChromeの拡張機能に存在するセキュリティ上の問題点を指摘した。 研究者らはChromeとテキスト入力フィールドについて、パスワードや社会保障番号、クレジットカード情報などの機密情報に関するセキュリティを包括的に分析している。主な分析結果は次の通りだ。 Webブラウザの粗い粒度のパーミッションモデルが、最小特権と完全な調停という2つのセキュリティ原則に違反している 発見した脆弱(ぜいじゃく)性を突く拡張機能を開発し、実際にWebストアのレビュープロセスをバイパスして登録できることを確認した。これを利用すれば、W
https://qiita.com/ockeghem/items/787f74801a24e1fc6960 上記記事の練習問題についての私の回答 UserID : ' union select '' as id, 'admin' as userid, '$2y$10$Ur8VTGkSgaF808C4krzvhOsLLxDzgHxhrVms6aUsnaLxmay3DV/ra' as password, '' as email; -- ' Password : 何も入力しない passwordカラムに突っ込んでいるハッシュ値はローカルで password_hash('', PASSWORD_BCRYPT) として取得したもので、password_verify()でtrueが返る組み合わせなら別に何でも良いです。 これをuseridをadminとしたカラムと一緒にunionで結合させています。
クロスプラットフォーム(Windows / macOS / Linux)対応の高機能パスワードマネージャー。 定番のパスワード管理ソフト「KeePass Password Safe」の派生版で、パスワード / ユーザー名 / メールアドレス / URL / メモ などを、暗号化されたデータベース内で安全に管理できるようにしてくれます。 登録データのインクリメンタルサーチ、登録データへのタグ付け、ウェブサイトのアイコン取得、YubiKey を使用したデータベースの保護、Pageant / OpenSSH への秘密鍵自動追加... 等の機能が付いています。 「KeePassXC」は、高機能なパスワードマネージャーです。 機密性の高い情報を暗号化して管理することができるソフト「KeePass Password Safe」のフォークで、 クロスプラットフォーム(Windows / macOS /
パスワードを盗み出す犯罪者 道具は「スプレー缶」
パスワードはサイバー攻撃に弱い。とはいえ、パスワードを使うしか方法がないアプリケーションやサービスはまだまだ多い。パスワードを盗み出す「パスワードスプレー攻撃」の特徴をつかみ、安全にパスワードを使う方法を紹介する。 パスワードはサイバー攻撃に弱い上に、ユーザーはパスワードを軽視している。パスワード関連のサービスを提供するNordPassによれば、最も使用頻度が高いパスワードはそのものズバリの「password」だ。2番目は「123456」、3番目は「123456789」だ。 パスワードをなめているユーザーを攻撃する方法 NordPassのマチェイ・バルトウォミエイ・シコラ氏はこのような状況の中で、サイバー攻撃者がどのように暗躍しているのか、ユーザーがとり得る保護策は何なのかを紹介している。 ユーザーが利用するパスワードが偏っているのであれば、それを利用した攻撃が有効だろう。最も効率の良い攻
Hive Systemsは2024年4月24日(現地時間)、2024年版の「Hive Systems Password Table」を公開した。 数字6文字のパスワードは“一瞬”で解読される Hive Systems研究結果 これは総当り攻撃(ブルートフォース攻撃)によるパスワード解読を実行した場合に、使用しているパスワードがどの程度の時間で解読されるかをまとめたものだ。Hive Systemsは数年前からこうしたデータを公開している。 Hive Systemsが2020年に公開したデータはパスワードハッシュMD5を対象に、グラフィックボード「NVIDIA GeForce RTX2080」を1枚使った場合のパスワード強度を報告していた。2022年には8枚の「NVIDIA A100」を使った分析結果に、2023年には12枚の「NVIDIA GeForce RTX4090」を使った分析結果にア
自宅でパスワードを必要とする場面は少なくありません。パソコンのようにマルチユーザシステム(複数のアカウントで完全に使い分けできる機能)を備えたデバイスはともかく、テレビやタブレットは家族共有、同じパスワードを使うというケースが多いようです。 iOS 17には、家族など親しい関係のメンバーでパスワードを共有する機能が用意されています。「共有パスワードグループ」を作成し、共有したいパスワード/パスコードをそこへ登録しておくと、グループのメンバーが参照できるようになります。 共有パスワードはiCloudキーチェーンに保存され、iOS 17、iPadOS 17、macOS Sonomaが稼働するデバイスからの参照が可能です。逆にいえば、それらの最新Appleデバイス/システムを利用しているメンバーのみ、共有パスワードにアクセスできます。 登録された共有パスワードは、参加したメンバー全員に反映されま
パスワードマネジャーのパスワードは、どうやって管理すればいいの?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(41) 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第41列車は「漏えいとパスワードの使い回し」です。※このマンガはフィクションです。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS特化のCTFが超楽しかった!【Security-JAWS / writeup】
数種類のパスワードで大半のウェブサービスを利用するユーザーは8割、トレンドマイクロ調査 | スラド セキュリティ
1Passwordがパスキー対応 ChromeなどのWebブラウザとiOSで提供
パスワードの利用実態調査2023 | トレンドマイクロ
Chrome拡張機能に潜む問題を研究者らが指摘 Webサイトのパスワード窃取が可能に
SQLインジェクションによる認証回避の練習問題について考えてみました - Qiita
KeePassXC - k本的に無料ソフト・フリーソフト
BL特化SNS「pictBLand」、オンライン即売会サービス「pictSQUARE」に不正アクセス、パスワードなど個人情報流出の可能性/サービスを一時停止中。パスワード変更や連携したX(Twitter)アカウントが乗っ取られていないか確認を!
数字6文字は“一瞬”で解読される Hive Systemsがパスワード強度を調査
家族でパスワードを共有できますか? - いまさら聞けないiPhoneのなぜ
パスワードマネジャーのパスワードは、どうやって管理すればいいの?