パスワードの次は「パスキー」が個人情報を守る、FIDOアライアンスの説明会
ウェブサービスやアカウントにログインするためのパスワードは、どれだけ複雑にしていてもデータ侵害による情報漏えいなどで盗まれてしまう可能性があります。しかし、2要素認証を設定しておけば、IDやパスワードが漏れてしまってもアカウントにログインされる心配はなくなります。そんな2要素認証を手軽に導入できるデバイスが「YubiKey」なのですが、Googleアカウントで「YubiKey」を利用していたという人物が、「Googleがアカウントで使用していたYubiKeyを勝手に削除してしまった」と報告しています。 Google removed my Yubikeys from a google account 'Just to be safe' | lunnova.dev https://lunnova.dev/articles/google-just-to-be-safe/ スマートフォンでは指紋認
EKSクラスターへ「kubectl」コマンドでアクセスする際の認証・認可の仕組みと設定 | DevelopersIO
上記のデフォルトロールに当てはまらないアクセス権限を定義したい場合は、新たなロールを定義することになります。 例えば、ポッドの参照のみ行えるアクセス権限は、以下のロールで定義できます。 pod-reader-clusterrole.yaml apiVersion: rbac.authorization.k8s.io/v1 kind: ClusterRole metadata: name: pod-reader rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] $ kubectl apply -f pod-reader.yaml clusterrole.rbac.authorization.k8s.io/pod-reader created ただし、実際には「ポッドの参照のみ」のアクセス権
2021年10月に開催された新製品発表イベントの中で、AppleはM1 Pro/Max搭載の新型「MacBook Pro」を発表しました。2021年モデルのMacBook ProはI/Oポートが増え、不評だったTouch Barは廃止されるなど複数の変更が加えられています。一方で、Windows搭載PCではすでに採用されているタッチスクリーンや、顔認証機能の「Face ID」はMacに搭載されていないままです。AppleがなぜMacにタッチスクリーンやFace IDを搭載しないのかについて、同社のハードウェアエンジニアリング担当上級ヴァイスプレジデントであるJohn Ternus氏がウォール・ストリート・ジャーナルに語っています。 Apple explains why it hasn't added a touchscreen or Face ID to the Mac - 9to5Mac
アメリカのIT大手、アップル、グーグル、それにマイクロソフトの3社は、ウェブサイトやアプリを利用する際、パスワードを入力しなくても、指紋や顔などで簡単に認証できるシステムの開発で連携すると発表しました。パスワードの使い回しによる情報の漏えいを防ぐ取り組みとして関心が集まっています。 ウェブサイトやアプリなどにログインする際に必要なパスワードは、管理が大変なことから、同じものを使い回す人が多いとされ、情報漏えいにつながるリスクがあると指摘されています。 こうした中、アップル、グーグル、それにマイクロソフトは5日、パスワードを入力しなくても認証できるシステムの開発で連携すると発表しました。 基本ソフトが違っても連携が可能な上、端末ごとに事前に設定する必要もないということで、たとえば、パソコン上でウェブサイトにログインしようとすると、自分のスマートフォンに指紋認証を行うよう促す画面が自動的に表示
米Googleは10月12日(現地時間)、AndroidとChromeで、5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「パスキー」(正式名称は「マルチデバイス対応FIDO認証資格情報」)のサポートを年内に開始すると発表した。 パスキーは、パスワードに代わるより安全な手段として開発された。また、SMSやアプリによるワンタイムパスコード、プッシュベースの承認などによる従来の2要素認証をも置き換えられる。 業界標準のAPIとプロトコルに基づいて公開鍵暗号化を使うことで、フィッシング攻撃を回避できるとGoogleは説明する。 パスキーは、ユーザーのPCやスマートフォンなどに暗号化された秘密鍵として保存される。秘密鍵を作成すると、オンラインサービス側で対応する公開鍵のみが保存され、そのオンラインサービスにログインしようとすると、サービス側が秘密鍵の署名を検証す
多要素認証疲労攻撃に要注意、Uberが被害に遭う
Malwarebytesは9月22日(米国時間)、「Welcome to high tech hacking in 2022: Annoying users until they say yes」において、Uberがソーシャルエンジニアリングの斬新な手法を用いた攻撃者によって被害を受けたと伝えた。Uberに対して、多要素認証(MFA: Multi-Factor Authentication)疲労攻撃が行われたことが判明した。 Welcome to high tech hacking in 2022: Annoying users until they say yes 多要素認証疲労攻撃は、攻撃者がすでに被害者のログイン情報を持っていることが前提とされている。攻撃者が何度も被害者のアカウントへのログインを試み、被害者が使用している多要素認証用に設定したモバイル端末またはアプリに「サインインを
npm security update: Attack campaign using stolen OAuth tokens
Securitynpm security update: Attack campaign using stolen OAuth tokensnpm's impact analysis of the attack campaign using stolen OAuth tokens and additional findings. As of June 2, 2022, GitHub has completed directly notifying all impacted users for whom we were able to detect abuse from the attack on npm. If you have not received a notification directly from GitHub, we do not have evidence that yo
BeyondCorp - A New Approach to Enterprise Security - - 発明のための再発明
GitHubのを眺めていたら、ORYのoathkeeperを見つた。 これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。 BeyondCorpとは GoogleがVPNの代わりに使用している、認証・認可のシステム。 人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっている。 論文は何個か出されているが、読んだのは、BeyondCorp: A New Approach to Enterprise Security また、GCPのサービスにもなっていて、Cloud Identity-Aware proxyという名前になっている BeyondCorpの仕組み 図にすると、↓のような構成らしい 認証 HRのシステムと結びつい
Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO
みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー
マイクロソフトの多要素認証を迂回する攻撃が発見される
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます サイバー犯罪者が、Microsoftの休眠アカウントを悪用して多要素認証を迂回(うかい)し、クラウドサービスやネットワークにアクセスしていることが明らかになった。 Mandiantのサイバーセキュリティ研究者によれば、この手口は、ロシアの対外情報庁(SVR)との結びつきが指摘されているAPT29(Cozy Bearとも呼ばれる)の攻撃キャンペーンで使用されているという。他の攻撃的なサイバー脅威グループも、同様の手口を使用していると考えられている。 Mandiantによれば、このサイバー犯罪グループは、「Microsoft Azure Active Directory」などのプラットフォームに、ユーザーが自分で多要素認証を導入するプロセス
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。 2020.06.16 社内勉強会 はじめに この記事は株式会社digglueの新卒を含む社員向けの勉強会で利用した内容です。今回のテーマ「OAuth, SAML, OpenID Connect, SSOの違い」です。内容や表現の間違いなどがあるかもしれませんがご了承ください。 学習の目的 OAuthやActive Directoryなどのシングルサインオンの認証について理解を深めようとすると、SAML, OAuth, OpenID Connect, SSOなどの関連性のある用語が多く出てきて混乱します。今回はこれらの用語を比較し、認証についての理解を整理します。 SSO(シングルサインオンとは) 1度のログインにより複数のサービスはアクセスするための仕組みがSSOです。SAML, OAuth,
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存する問題、修正予定なし | スラド セキュリティ
Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事、 Ars Technica の記事、 Dark Reading の記事、 VentureBeat の記事)。 Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証
AmazonCognitoでユーザー認証するリバースプロキシサーバーをdocker-composeで構築する - Qiita
はじめに 社内で構築したWEBアプリを社外のユーザーにも使ってもらう際に、ユーザー認証部分を従来は node.js+express+passport で構築していました。 この方式の場合、ユーザーの追加変更削除を行うにはユーザーを管理するデータベースを直接触るか、または別途ユーザー管理画面を作成する必要があり手間がかかっていました。 今回この認証とユーザー管理部分をAWSのCognitoに移行したので手順を共有します。 なお、このサンプルではローカルPCにWEBアプリおよびリバースプロキシをサーバー構築するものとします。 Amazon Cognitoの設定 ユーザープールの作成 AWSにログインしてサービスの一覧から Cognito をクリックし、次画面で[ユーザープールを作成]ボタンをクリックします。 Cognitoユーザーのサインインオプションは「Eメール」のみ選択します。 セキュリテ
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR] WebサービスやSaaS(Software as a Service)の開発において、認証や認可における脆弱性が発覚した場合、その深刻度は大きいことが多く対策は必須です。 言うまでもなく、どんなに素晴らしい機能が提供されていたとしても、脆弱性を突かれて情報漏洩やデータ破壊などを起こしてしまえば、ソフトウェアで提供される価値が地に落ちてしまうからです。 認証と認可の脆弱性は全体の3割以上にも セキュリティスタートアップとして多くのSaaS開発企業などにセキュリティ診断(脆弱性診断)を提供しているFlatt Security社は、同社が2022年の1月から1年強の間にBtoB SaaSを対象として検出した脆弱性を集計すると、ソフトウェアのロジックや仕様に起因するものが非常
![WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a17c829e4653c973c5ecf17b68fb4192034d2926/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fflattsecuritypr0105b.png)
The Qiita Advent Calendar 2019 is supported by the following companies, organizations, and services.
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 韓国のChung-Ang Universityによる研究チームが開発した「Your Tapstroke Tells Who You Are: Authenticating Smartphone Users with Tapstroke-driven Vibrations」は、PIN(Personal Identification Number)コードやパスコードなどの個人認証を強化する、スマートフォン向け多要素ユーザー認証システムだ。 指のタップで入力する際に発生する振動を組み合わせることで、番号が分かっていても本人の指でないと認証しないようにした。指の形状や大きさは人によって違うことを利
Protect against AiTM/ MFA phishing attacks using Microsoft technology
Home > Security > Protect against AiTM/ MFA phishing attacks using Microsoft technology In the last couple of weeks, many researchers warns of a new large-scale phishing campaign that is using the adversary-in-the-middle (AiTM) techniques to bypass multi-factor authentication. Following Zscaler researchers Sudeep Singh and Jangadeeswar Ramanukolanu the campaign is designed to reach end users in en
【VRChat】Discordメンバーのみ開錠できるワンタイムパスワードロックを作りました。【無料】 - チカラの技術
こんにちは!元気です。 今回はVRChatのワールドギミックの解説と導入提案(無料)の記事になります。 一般の方向けの用語解説などはありませんのであしからず・・・! VRChatの鍵の技術 良い感じの鍵、欲しくないですか? [ 画像:VOLT Dance Club / DigitrevX様 (※パスワードは無いです)] VRChatのワールドで特別な部屋にロックを掛けたい場合、鍵が必要になります。 今回作ったワンタイムパスワードロックシステム(OTP方式)は現行手法のデメリットを軽減もしくは解決する目的で作りました。 ただ現行手法にもメリット・デメリットがあるため、まずはそれらを紹介します。 なお、VRChat公式のモデレートツールガイドライン(規約に準ずる)についても後述で触れます。 現行手法 主に3つの手法があります。 ① 固定パスワード方式: ワールド製作者が決めた秘密のパスワードを
NTTドコモは10月17日、dアカウントにログインする際、Web認証とパスキーを使った新たな認証手段を2023年2月から導入すると発表した。利用中のアプリのブラウザ上でパスワードレス認証でき、認証アプリが不要になる。 従来、dアカウントのログインで生体認証などのパスワードレス認証を利用する際は、「dアカウント設定アプリ」を起動して認証する必要があった。 新たな認証手段では、設定アプリを起動する必要なく、利用中のアプリのブラウザ上でパスワード認証が利用できるようになる。 パスキーによる認証を導入するこで、複数デバイスをクラウド経由で同期し、dアカウントのログイン時にパスワードレス認証が行えるため、機種変更時にパスワードレス認証の再設定も不要なる。 関連記事 「ドコモオンライン手続き」dアカウント+パスワードのログイン廃止 セキュリティ強化で 料金プラン変更などをオンラインで行える「ドコモオン
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる | DevelopersIO
AWS IAM Identity Center を利用して Azure AD のユーザー情報で AWS アカウントへのアクセスを試してみる Azure AD と AWS IAM Identity Center を連携させて、Azure AD の認証情報で AWS アカウントにアクセスする設定方法をまとめました。 Azure AD ユーザーの認証情報を使って AWS IAM Identity Center 経由で AWS アカウントにアクセスする方法を紹介します。以前にも同様のブログを書きましたが、AWS Single Sign-On 時代だったため、改めて書き直しました。手順に変わりがないか確認したい意図もありましたが、ほぼ同じ手順で設定できました。 構成と全体の流れ 構成図と設定内容を示します。 ユーザー/グループ情報の同期は SCIM による自動同期を採用しています。 設定の流れ SA
Google従業員が「信頼できる第三者」による認証でBotや改造ブラウザを排除して「健全なインターネット」を作るべく新たなウェブ標準「Web Environment Integrity」を提案
BotによるSNSの操作やアカウントの一括作成を検知したり、ブラウザを改造してウェブベースのゲームでチートを行う行為を検知するための新たなウェブ標準「Web Environment Integrity」がGoogleの従業員4人によって提案されています。 Web Environment Integrity Explainer https://github.com/RupertBenWiser/Web-Environment-Integrity/blob/main/explainer.md このWeb Environment IntegrityプロジェクトはAppleのApp AttestやGoogle PlayのPlay Integrity APIなど既存の認証システムからインスピレーションを受けているとのこと。例えばAndroid端末では、ユーザーが端末を完全に制御できるようにする「ルー
システム関連で幅広い事業を展開しているサイオステクノロジーのプロフェッショナルサービスチームが、日々何を考え、どんな仕事をしているかを共有する「SIOS PS Live配信」。今回は、利用頻度の高いOAuthをテーマにシニアアーキテクトの武井氏が登壇しました。まずはID・パスワード認証と比較しながら、OAuth認証について紹介します。全4回。 セッションのアジェンダ 武井宜行氏:こんにちは。SIOS PS Liveの第1回目を始めます。SIOS PS Liveでは、サイオステクノロジーのプロフェッショナルサービスラインのエンジニアたちが、隔週に渡っていろいろな技術情報を提供していきます。 弊社は認証、特にプロフェッショナルサービスラインは認証技術を得意としている部署なので、第1回目は「OAuthの入門」と題して、「世界一わかりみの深いOAuth入門」について説明したいと思います。さっそく始
HTTP上で認証を行う場合, セッションによる認証 リクエストボディにトークンを含める認証 独自ヘッダにトークンを含める認証 Authorizationヘッダを用いた認証(Basic, Digest, Bearer) JWT認証 など, 様々な方法がある. この記事ではAuthorizationヘッダを用いた認証のうち, 特にBearer認証についてまとめている. 認証と認可 そもそも認証や認可とは何を指す言葉なのか. 認証 ... ある個人を特定すること 認可 ... 行動やリソースの許可をすること よくあるWebサービスの場合, 認証を行った時点でそのユーザが使用できる機能が決まるため, 認可もされているということになる. Bearer認証 Bearer認証は, トークンを利用した認証・認可に使用されることを想定しており, OAuth 2.0の仕様の一部として定義されているが, その仕
F5 iControl REST Endpoint Authentication Bypass Technical Deep Dive – Horizon3.ai
Early in 2023, soon after reproducing a remote code execution vulnerability for the Fortinet FortiNAC, I was on the hunt for a set of new research targets. Fortinet seemed like a decent place to start given the variety of lesser-known security appliances I had noticed...
Jack Wallen (Special to ZDNET.com) 翻訳校正: 編集部 2023-10-19 07:45 「Samba」は、「Linux」デスクトップのフォルダーをネットワーク上のほかのユーザーと共有する優れた手段である。例えば、ほかのユーザーがアクセスする必要のあるドキュメントがある場合や、写真、動画など、共有したいさまざまな種類のファイルがある場合、Sambaを使用すると、それらのファイルやフォルダーをネットワーク上のあらゆるデバイスと共有することができる。Samba共有はユーザー名とパスワードで保護することが可能だ。 Samba共有をセットアップする方法については、過去の記事で解説済みだ。今回は、アクセスするユーザーにユーザー名とパスワードを求めない共有を作成して、ネットワークに接続しているすべてのユーザーがそれらのファイルを利用できるようにする方法を紹介する。 注
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘:この頃、セキュリティ界隈で 認証情報の窃取やネットワークへの不正侵入といったサイバー攻撃が過去2年で急増しているにもかかわらず、多要素認証(MFA)やパスワードレス認証といった強力なID認証手段の普及がなかなか進まない状況にある──米Microsoftはこのほど発表した報告書で、そんな実態に警鐘を鳴らしている。 サイバー脅威に関するMicrosoftの四半期報告書によれば、同社のクラウドベースID管理サービス「Azure Active Directory(AD)」を使っている法人のうち、多要素認証やパスワードレス認証などの強力なID認証を実装していたのは、2021年12月の時点で22%にとどまった。 攻撃者はそうした隙を突き、フィッシング詐欺メールやパスワード総当たりのブルートフォース攻撃、ソーシャルエ
ProductEnhanced 2FA experience for your npm accountLate last year, in response to an unprecedented series of account takeovers resulting from the compromise of developer accounts without 2FA enabled, we committed to a variety of enhancements to… Late last year, in response to an unprecedented series of account takeovers resulting from the compromise of developer accounts without 2FA enabled, we co
[前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO
CX事業本部Delivery部のアベシです。 こちらの記事では、API Gateway + Lambda のREST APIに Auth0 + Lambda Authorizerの認可を導入する方法について紹介します。 前編、更編に分けて紹介します。 今回の前編ではLambda Authorizer と Auth0を使ったAPI Gatewayの保護の仕組みと、土台となるAPIのCDKコードについて紹介しようと思います。 Lambda Authorizer と Auth0を使った認可の仕組み 以下のフローで認可が行われます。 ① クライアントがAuth0に認可をリクエストする。 ② 認可されたらAuth0がアクセストークンを返す。 ③ クライアントがAPIコールする。その際にアクセストークンをヘッダーとしてAPI Gatewayに渡す。 ④ API GatewayがLambda Autho
GitHubのセキュリティチームは4月15日、公式ブログ「Security alert: Attack campaign involving stolen OAuth user tokens issued to two third-party integrators」において、盗まれたOAuthユーザートークンを悪用してGitHubのプライベートリポジトリなどにアクセスし、データを盗み出す攻撃が確認されたと伝えた。 攻撃者による悪用が確認されたのはHerokuおよびTravis-CIによって発行されたOAuthユーザートークンで、これらのトークンを使用するnpmを含む数十の組織からデータがダウンロードされた形跡があるという。 Security alert: Attack campaign involving stolen OAuth user tokens issued to two th
先日、非常に楽しみにしていた作品が配信サービスで提供されたため、サブスクリプション費用に加えて先行配信分の課金をして準備万端で臨んだところ、再生を押しても一向につながらず……ということがありました。 恐らく週末の夜、同じことを考えた方からのアクセスが集中し、サービスに不具合が生じたのかと思います。システム担当者はきっと頭を抱えていたでしょう。 そこで思い出したのは、日本でも多くの利用者がいる動画配信サービス「Netflix」です。Netflixは以前から、サービス稼働中に“意図的に”障害を起こす訓練をしています。これに利用されたツール「Chaos Monkey」は、オープンソースとして公開されています。 「カオスエンジニアリング」と呼ばれるこの手法は、国内企業でも導入が進んでいます。この手法を取り入れるには、経営者の理解も必要ですので、「カオスエンジニアリングを採用する」と宣言できること自
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Googleが「安全のため」と2要素認証デバイス「YubiKey」を勝手に無効化してしまう事態が発生
AppleがMacにタッチスクリーンやFace IDを搭載しない理由を説明
IT大手3社 認証システム開発で連携 パスワードより指紋や顔で | NHK
ドコモメールに送信ドメイン認証技術「DMARC」「DKIM」を導入、詐欺メール低減へ
Google Chrome、パスワードレス認証「パスキー」を導入
Google、AndroidとChromeでのFIDOの「パスキー」サポートを年内開始へ
パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」
【Mac Info】 パスワードに代わる認証方法「パスキー」をAppleデバイスで上手に活用しよう!
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。
新世代リモートデスクトップソフト「Verethragna」ベータ版、セキュリティが大幅に向上/パスワード認証や通信の暗号化が可能に
認証認可技術のカレンダー | Advent Calendar 2019 - Qiita
PINコードをタップする際の“振動”で個人認証を強化 のぞき見などに対策
dアカウントへの生体認証、専用アプリ不要 23年2月から
OAuthのメリットは認可のためのプロトコルであること 従来のID・パスワードを利用した場合と比較した、OAuthの特徴とフロー
Bearer認証について - Qiita
GitHub、3月13日から2要素認証の義務化を開始 2023年末までの間に順次適用
「Linux」でパスワード認証なしでアクセス可能な「Samba」共有を作成するには
多要素認証の普及率低さに米Microsoftが警鐘 米政府も「とてつもなく危険」と指摘
Enhanced 2FA experience for your npm account
アップル・Google・MSがFIDOの新パスワードレス認証導入。スマホでPCサインイン
「鉄道会社は顔認証システムの利用を直ちに中止すべき」日弁連が意見書 - 弁護士ドットコムニュース
盗まれたOAuthユーザートークンでGitHubリポジトリからデータ奪う攻撃発生
「2段階認証」スマホなくしても突破可能? “カオス”を体験しその時に備える