FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
![[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/01997881325332bcbeca491a7a712a5024e39095/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F08%2Famazon-cognito.png)
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。 考えていると結局のところ、サービス提供側が意図していることとは全然違うことが起きている気がするので、この辺はしっかり考えて実装したいところですね。(実装ミスは問題外として) カテゴリ滅びてほしいもの実装側がやりたいこと利用者が感じること実際に起きていること代替手法認証CAPTCHAbot避けぐにゃぐにゃ文字が読めない バイクと自転車の違いとは?ユーザの離脱、カゴ落ちパスキーの利用 新しいタイプのCAPTCHA(通常は画面に出ない) リスクベース認証との組み合わせによる抑制認証パスワード誰でも使える認証手段の用意忘れる。複雑なパスワードをそれぞれのサービス毎に管理するのは無理パスワードの使い回し。パスワード
Amazonがアメリカを中心に展開している手のひら認識サービス「Amazon One」で、スマートフォンから手のひらを簡単に登録できるようになったことが発表されました。これまでは店頭で手のひらの登録作業を行う必要があったのですが、今後は自宅で簡単に登録できるようになります。 Amazon One launches app for easy sign-up to palm-recognition service https://www.aboutamazon.com/news/retail/amazon-one-app Amazon Oneは、2020年9月にAmazonが発表した手のひら認証システムで、手のひらの画像から個人を特定し、Amazonのアカウントとクレジットカード情報に紐付けることで、手のひらをかざすだけで支払いを可能にします。 Amazonが手をかざすだけで料金を支払えるデバ
関連記事 サンワ、Windows Hello対応指紋センサーを備えた3ボタンマウス サンワサプライは、指紋認証センサーを標準搭載した3ボタン有線マウス「400-MAFP001」の販売を開始した。 テック、Windows Hello対応のUSBポート直挿し型指紋認証センサー テックは、USBポートに直接挿して利用できる指紋認証センサー「TE-FPA2」を発表した。 Microsoft、指紋認証センサー付きBluetoothキーボード発売 129.99ドル 米Microsoftが、指紋認証センサー付きBluetoothキーボードとマウスを米国、カナダ、中国のMicrosoftストアで発売した。 Thermaltakeから指紋認証センサーを内蔵したUSBゲーミングマウスが発売 アスクは、Thermaltake製となるUSBゲーミングマウス「BLACK FP」の取り扱いを開始する。 関連リンク 製
NEC、顔認証セキュリティソフト「NeoFace Monitor」新バージョンを発売 仮想デスクトップ環境への対応強化
NECは3月22日、同社が提供する顔認証セキュリティソフト「NeoFace Monitor」の最新版「NeoFace Monitor V7.1」を発表、販売を開始した。ソフトウェア価格は1000円、ライセンス価格は1万4500円/台、保守パックが2600円/台だ(いずれも税別)。 今回のバージョンでは仮想デスクトップ環境への対応力を強化しており、従来サポートしていたMicrosoftリモートデスクトップに加えVMware Horizon/Citrix Virtual Apps and Desktopsの利用環境でも、手元のPCカメラを用いて仮想デスクトップOSへの顔認証ログインを利用可能となった。合わせてネットワーク通信上の認証データ軽量化を実現し、多数の利用者が同時接続する大規模環境などでの利便性を向上している。 セキュリティ運用機能も強化されており、利用環境に合わせたセキュリティ強度の
おじいちゃんのスマホ操作を見ながら感じた認証のあり方について - freee Developers Hub
こんにちは。認証認可基盤エンジニアのてららです。 最近好きな言葉はコンフォートゾーンです。好きな食べ物はニンジンです。 猫派です。 経緯 週末、パートナーが祖父母の家に帰るということで付き添いをしてきました。 その1つの目的としてパートナーの祖父(以下、おじいちゃん)がスマートフォンを利用していたのに急にスマホアプリから認証を求められて困っている、とのことでそれの解決をしていました。 「なんとか出来ないかねぇ」ということでパートナーがおじいちゃんのスマホを触りながら操作方法を教えつつ、認証情報を探しておじいちゃんに手解きしている様子を眺めていました。 その時、“ログイン”や“ユーザーID”、知識認証情報を紙に記してその紙の管理をしていたところからこのアプリは何をしたかったのか、おじいちゃんが苦労せずにアプリを触るためにはどうあるべきなのかをずっと考えていました。認証認可基盤のエンジニアとし
Interaction to Next Paint is officially a Core Web Vital 🚀 Stay organized with collections Save and categorize content based on your preferences. Interaction to Next Paint is now a stable Core Web Vital metric, replacing First Input Delay. Today's the day! After years of work, we're finally ready to make Interaction to Next Paint (INP) a stable Core Web Vital metric. This marks a significant step
Next.jsの認証チェックどこでするか問題 基本的には middleware.ts で行うと思うのですが、肥大化を避けたり、ちょっとした共通処理は layout.tsx に書くこともあるでしょう。今回は layout.tsx で認証チェックをした場合に、実装によっては意図せず認証ユーザにしか表示したくない情報が漏洩してしまうかもしれないケースを紹介します。 問題のあるコード import { redirect } from "next/navigation"; export const dynamic = 'force-dynamic'; function currentUser() { // ここでセッションデータから認証ユーザ情報を取得する関数 // デモ用にログインしていないユーザを再現したいのでfalseを返す return false; } export default fun
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の全4記事中の3記事目です。前回はこちら。 www.m3tech.blog 9 JWT の実装 9.1 JWT概説 9.2 OpenID Connect の JWT 9.3 ヘッダーとペイロードの実装 9.4 署名の実装 公開鍵と秘密鍵を生成する 署名処理を作る 10 JWKS URI の実装 (GET /openid-connect/jwks) 11 RelyingParty で ID トークンの検証をする 12 OpenID Connect Discovery エンドポイントの実装 (GET /openid-connect/.well-known/openid-configuration) まとめ We're hiring 今回は全4回中の第3回目です。 (
二段階認証の仕組みと導入時におさえておきたい対策 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちはこんばんは! 昨今、セキュリティへの関心が非常に高まっています。 二段階認証を取り入れる企業が多くなってきました。 最近の例で言うと、Githubが2023年3月ごろに二段階認証を義務化したのは記憶に新しいと思います。 そこで、今回は認証の基礎知識をおさらいした上でTOTPを使った二段階認証の仕組みと導入時の注意点について解説します! ※本記事の内容は、ビアバッシュ(社内の技術共有会)にて登壇発表した内容です。 ビアバッシュの取り組みについては以下の記事を読んでみてください! tech-blog.rakus.co.jp はじめに 基礎知識 二要素認証とは? 二段階認証とは? 二要素認証と二段階認証の違い ワンタイムパスワードとは? HOTPとTOTPについて HOTPとは? TOTPとは? TOTPの時刻ズレ対策 導入編 TOTPの時刻ズレ対策の実装 TOTPの注意点
Apple・Google・Microsoft・Mozillaが協力して開発するベンチマークツール「Speedometer 3.0」が登場
Apple、Google、Microsoft、Mozillaといったテクノロジー大手が協力して開発するベンチマークツール「Speedometer 3.0」が発表されました。 BrowserBench.org — Announcements https://browserbench.org/announcements/speedometer3/ Improving Performance in Firefox and Across the Web with Speedometer 3 - Mozilla Hacks - the Web developer blog https://hacks.mozilla.org/2024/03/improving-performance-in-firefox-and-across-the-web-with-speedometer-3/ Speedomet
起業家でエンジニアのルイス・ウェナス氏は、小型ドローンに顔認証システムと人工知能(AI)を組み込むことで、ゲーム感覚で人間を追いかけるドローンを作成したとSNSに投稿しました。ウェナス氏は、わずか数時間で作り上げたそのドローンが武器さえ搭載すれば簡単に自動で人間を殺害するドローンに変貌することを指摘し、AIドローンの兵器利用について警告しています。 we built an AI-controlled homing/killer drone -- full video pic.twitter.com/xJVlkswKaq— Luis Wenus (@luiswenus) AI drone that could hunt and kill people built in just hours by scientist 'for a game' | Live Science https://ww
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは:ITmedia Security Week 2023 冬 2023年11月28日、アイティメディアが主催するセミナー「ITmedia Security Week 2023 冬」の「多要素認証から始めるID管理・統制」ゾーンで、イー・ガーディアングループCISO(最高情報セキュリティ責任者)兼 EGセキュアソリューションズ 取締役 CTO(最高技術責任者)の徳丸浩氏が「認証の常識が変わる――認証強化の落とし穴と今必要な施策」と題して講演した。「認証」をキーワードとし、これまでパスワードに頼り切りだった古典的な手法による認証システムが攻撃される中、新たな技術でどこまで人と情報を守れるのか。認証の現状と今必要な対策を語るセッションだ。本稿では、講演内容を要約する。
たった1回のデータ侵害で、オンライン生活全体が大混乱に陥ってしまう。問題はパスワードだ。この保護手段は、貴重なリソースを守るには絶望的なまでにもろい。 長く、複雑で、推測しにくいパスワードを作成すれば、何とかオンラインでの安全性を高められると信じ込み、誤った安全感を持たないようにしよう。あまりに長く複雑で、入力に5分かかるパスワードを作成しても、そのパスワードを使用するサービスで適切に保管されておらず、サーバーが侵害された場合、保護には何の役にも立たない。そうした事態が頻繁に起きている。 強力なパスワードをランダムに生成して使い回しをしない、という合理的なポリシーを定めていても、セキュリティという鎖で最も脆弱な部分は、やはり人間だ。聡明な人でも、ソーシャルエンジニアリングでだまされて認証情報をフィッシングサイトに入力することや、電話で教えてしまうことがある。 その解決策が、2要素認証、すな
"OpenID Connectは認可のための仕組みであるOAuth 2.0を認証のために拡張したもの" という表現が気になったが実は... - r-weblife
ritouです。 あることがきっかけで、これが気になりました。 10年間で熟成されてしまった感のある「OIDCはOAuth 2.0を"認証もできる(認証用途に利用できる)ように"拡張した」っていう表現だが、プロトコルの解説にあたってもその流れでやられるとモヤるところがあるのでなんとかしておくべきだったのかもしれない。— 👹秋田の猫🐱 (@ritou) 2024年2月1日 この表現、検索するとたくさん出てくるんです。 仕様策定の時期 OIDC Core 1.0にある "OpenID Connect 1.0 is a simple identity layer on top of the OAuth 2.0 protocol." という記述の解釈 というあたりからこのような表現になっているのでしょう。 ただ、この前提でプロトコル自体を解説、理解しようとすると何かうまくいかないところがあるの
Appleの複合現実(MR)ヘッドセットVision Proが2日米国で発売に至りましたが、同機では新たな認証システム「Optic ID」が導入されています。Optic IDはAppleの3番目の生体認証となります。 ■3行で分かる、この記事のポイント 1. AppleのMRヘッドセットVision Proで新たな認証システム「Optic ID」が導入された。 2. 安全な近赤外光で眼球を照らし、眼球カメラで虹彩の画像を撮影する。 3. 認証の際、登録された生体データとユーザーの虹彩が一致するかが判断される。 データはSecure Enclave内で処理 2013年に導入されたTouch IDは指紋により生体認証を行うものですが、2017年にiPhone Xで顔認証Face IDが新たに導入されました。 Face IDは最新のiPhoneでもデフォルトの認証システムとなっていますが、Vis
1Passwordの指紋認証でaws cliが使える!1Password Shell Pluginsがすごい! | DevelopersIO
以下のGIFを見てください! クレデンシャルを利用したaws cliを実行が、指紋認証だけで実現できています!このcli実行は、MFAを設定したIAM UserからIAM Roleにassume roleし、実行されています。 実現には以下の1Password Shell Pluginsを使っています。 設定してみる 公式ドキュメントに従って設定します。 注意点! MFAのワンタイムパスワードを1Passwordに設定する際に、属性名がOne-Time Passwordじゃないとプラグインが動作しません。 日本語設定しているとワンタイムパスワードという名前で作成されてしまう場合があるようです。One-Time Passwordにリネームしましょう。 感想 最高かよ。 MFAトークンの入力でいままでトータル2億年くらい時間ロスしていましたが、それが指紋認証でスッと完了します!爽快です! 余談
フロントエンドの認可ついて(その1)
概要 どうもukmashiです。今年は年末なのに、年末感がなくて逆にびっくりしますね。 年末で時間を持て余してるので、燻製を作りながら、年末に仕事で練っていたフロントエンドにおける認可について、整理しようと思います。 なお、RBACやPBACなどの認可の種類に対する考え方については基本的に触れません。 本記事は2部作です。 本記事は3部作になりました。 フロントエンドの認可ついて(1)← 本記事 ReactやVueを始めとして、SPA、Next.js、Nuxt.jsに関する認可についてまとめます。 フロントエンドの認可ついて(2) 後半では、FEとBEで認可の処理が二元化してしまうのをどうクリアするかの提案です。 フロントエンドの認可ついて(3) 2での提案を具体的にReactのコードとして落とし込みました 本記事での用語 話を始める前に、用語整理しておきます。 Page ブラウザで描画さ
この記事の内容は、個人の意見であり感想です。くれぐれもよろしくおねがいします。 とりあえずドラフトですが公開します。識者のみなさまの暖かく、そして鋭いツッコミを期待します。 パスキーについて、非常にわかりやすいブログをえーじさんが書いてくださいました。コレを読んで頂ければほとんどのことが分かると思います。 先日の次世代Webカンファレンスで、私は、「結局、パスキーは秘密鍵と公開鍵のペア」と申し上げた立場からも、この疑問はごもっともだと思いましたので、すこし、私の思うところを述べたいと思います。 パスキーは2要素認証の場合が多いほとんどのユーザは、OS標準のパスキーを使うのではないかと思います。そして、生体認証、もしくは画面ロック用のパスワードやPIN等が設定されていない限り、OS標準のパスキーを使うことができません。そして、OS標準パスキーの利用時には、生体認証もしくは画面ロック解除のため
Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog
こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato(@yusukesatoo06)です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセスと、そこで得た学びや気づきを共有できればと思います。 1. OAuthとは 1-1. OAuthの概要 1-2. OAuthのフロー 2. OAuthが必要な背景 2-1. 外部サービス連携 2-2. 他の連携方式との比較 3. OAuthの提供 3-1. 提供方式 3-2. 今回の選定方式 4. OAuthサーバの構築 4-1. Authleteについて 4-2. 必要なエンドポイント 4-3. システム構成 5. 開発を通じて 5-1. 開発を通じた
iOS 17.3の新機能。盗んだiPhoneで好き勝手はさせない2023.12.15 12:30186,284 Dua Rashid - Gizmodo US [原文] ( 福田ミホ ) 逆に現状ってけっこう怖い。 今まで、iPhoneが盗まれた場合のApple(アップル)の対策は、まあまあ手薄でした。盗んだ人にパスコードを見られてしまってたら、すべてを引き渡すも同然です。 でも最新のiOS 17.3ベータで、ついに強力な安全策が導入されました。 今まではパスコードが命綱これまでiPhoneの中の大事なデータを守ってきたものって、4ケタか6ケタの数字のパスコードでしかありません。写真も動画も、iCloudに入ったデータも、いろんなパスワードも、そしてお金も、iPhoneとパスコードさえあれば使い放題になっちゃうんです。 パスコードがわかれば誰でも、iPhoneからログアウトしたり、違うAp
こんにちは、LINEヤフー株式会社でSREとして働いている岩山です。 今回は出向先の出前館で進めているマルチテナンシーのKubernetes(k8s)クラスタとサービス間通信の認可について、その構築作業の中で得られた知見を紹介します。 いくつか導入したツールの紹介を同じチームの出向組メンバーである岡田・望月・岩山の3名でお送りします。 k8sのマルチテナンシーとは マルチテナンシーとは「テナント」と呼ばれる複数のチームなどの単位で k8s クラスタを共有することです。 参考: https://kubernetes.io/docs/concepts/security/multi-tenancy/ 出前館では数百名の開発者が20個前後のチームを構成し、アプリケーションの開発を行っています。それぞれのチームは複数のコンポーネントを持ち、全体としてマイクロサービスアーキテクチャが構成されています。
はじめに 去年の「Digital Identity技術勉強会 #iddanceAdvent Calendar 2022」でも「認証と署名は何が違う? ~マイナンバーカードを例に~」として認証と署名の話をしました。実は今年も必要に迫られて認証と署名の整理をしてきてある程度まとまったかな…と言うことで今年も再び書かせてください!また署名業界では新たに電子シール(eシールとも呼ばれる非自然人/組織の電子証明書によるデジタル署名)の検討が進んでいます。なので署名も電子署名と電子シールに分けて整理をしてみます。年末の忙しい時期ですが楽しんでご笑読ください。認証と署名の整理についてはこれで最後にしたい…なぁw デジタルアイデンティティ さてまず認証と署名を比較するとはどういうことかを整理しましょう。認証…と言うよりも技術全体を示すのであれば最近はデジタルアイデンティティ(Digital Identit
パスワードを使わないパスワードレス認証であるパスキーを推進するFIDO Allianceは会見を開き、既に70億を超えるオンラインアカウントがパスキー利用可能な状態になって、利用が拡大していることをアピールした。国内でも利用が拡大しており、新たにメルカリがボードメンバーに加盟し、住信SBIネット銀行がアライアンスに加盟した。 FIDO Allianceの1年の取り組みが紹介された。写真左からメルカリ執行役員CISO市原尚久氏、LINEヤフーLY会員サービス統括本部ID本部本部長伊藤雄哉氏、FIDO Japan WG座長でNTTドコモのチーフ・セキュリティ・アーキテクト森山光一氏、FIDO Allianceエグゼクティブディレクター兼最高マーケティング責任者のアンドリュー・シキア氏、FIDO Alliance FIDO2技術作業部会共同座長でGoogle ID&セキュリティプロダクトマネージ
認可のベストプラクティスとDDDでの実装パターン
最近、少々複雑な権限機能の開発を担当している中で、対応方針を悩んでいたことがありました。 権限機能というものは取り扱いが難しく、影響範囲が広いにも関わらず、対応漏れや考慮不足があると情報漏洩に繋がってしまいます。 また、機能拡張をしてく中でも対応漏れを起こさないようにする必要があるなど、考えることも多く頭を悩ませておりました。 そこで、認可処理の設計のベストプラクティスやDDDの実装パターンに認可処理を組み込む方法など、色々と調べていたのですが、その中でいくつか知見を得られたのでまとめようと思います! 権限と認可 権限と切っては切れない関係にあるのが認可です。 権限はある操作を実行できる権利を指します。 それに対して、認可は操作を実行する許可を出すため仕組みのことを指します。 例えば、ブログ投稿サービスで考えてみると、以下のような感じです。 権限: 投稿者はポストを編集できる。 認可: ユ
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?:Cybersecurity Dive BeyondTrustとCloudflareは2023年10月に発生した「Okta」環境に対する侵害について、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたという。 サイバーセキュリティサービスを営むBeyondTrustとCloudflareのセキュリティリーダーは2023年10月に発生した「Okta」環境に対する侵害について(注1)、サイバー攻撃者がシステムや顧客に損害を与える前に食い止めたと確信している。しかし、経営陣がこれらの攻撃について抱く懸念には未解決の部分が多く残っている。 BeyondTrustとCloudflareが、Oktaのサポートスタッフに送ったログファイルには、サイバー攻撃者がOktaのサポートシステムの管理者アカウントから盗んだセッショントー
AWS ELB Application Load Balancer にTLSクライアント認証(mTLS)のパススルーを構成する | DevelopersIO
ども、大瀧です。 re:Inventがまだ始まっていないのにALBがmTLSをサポートする大型のアップデートが来ました。本ブログではパススルー構成をLambdaターゲットグループで試してみた様子をご紹介します。 設定方法 設定は非常にシンプルです。ALB作成ウィザードのHTTPSリスナー選択時に表示されるセキュアリスナーの設定に「クライアント証明書の処理」という項目が増えているので、「相互認証(mTLS)」のチェックをオンにすればOKです。 ALBのmTLS対応には二つの動作モード、「パススルー」と「トラストストアで検証」があります。「パススルー」はALBでクライアント証明書の検証はせず、転送するリクエストヘッダにクライアント証明書を付与してバックエンドターゲットでの検証を期待する動作、「トラストストアで検証」は ALB自身でクライアント証明書を評価する動作です。「トラストストアで検証」を
メールを通じて認証情報を盗むなどするフィッシング攻撃の脅威が増している。メールセキュリティーの世界最大手、米プルーフポイントによると、フィッシング被害者の3分の1以上は複数の認証を使う多要素認証を実装済みだった。攻撃者を支える仕組みが闇市場に登場していることが背景にある。同社のティム・チョイ副社長はIDの管理を厳格化することが重要と提唱する。――プルーフポイントが8月に公表したリポートでは、過
ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブログに書きます。 今日の内容ですが、初めにパスキーの概要についてざっと触れます。 続いてWebアプリケーションにパスキーを導入するとなった場合にどこから手をつけるべきかというところに触れた後、一番の悩みどころになりそうなログインのUI/UXについて紹介します。 概要からいきましょう。 パスキーの紹介記事もたくさん出ているので要点だけまとめます。 パスキーとは「パスワードが不要な認証方式」であり、それを支える仕様はFIDOアライアンスとW3Cにより策
書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典 | DevelopersIO
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。 パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの? もっとセキュアになったの? サイトによってUXが違うんだけど? このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。 著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
Oktaがパスワードレス認証のパスキーを解説、「セキュリティと利便性の高い機能」
「認証」を整理する | IIJ Engineers Blog
Amazonの手のひら認証システム「Amazon One」がスマホから登録可能に
サンワ、Windows Helloに対応したUSB Type-C指紋認証センサー
Interaction to Next Paint is officially a Core Web Vital 🚀 | Blog | web.dev
Next.jsのlayout.tsxで認証チェックすると情報漏洩するかも
フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ
AIと顔認証を組み込んだ「人間狩りをするAIドローン」がわずか数時間で完成
【Mac Info】 パスワードに代わる認証方法「パスキー」をAppleデバイスで上手に活用しよう!
検索で見つけたESTA申請サイトから高額な手数料!? 海外渡航認証トラブルに国民生活センターが注意喚起
徳丸氏が探る“認証”の今――サイバー攻撃の認証突破テクニック、フィッシング、そして対抗策とは
2要素認証でセキュリティ強化--設定方法、認証アプリ、保護すべきアカウント
Touch ID、Face IDに次ぐ第三の革命「Optic ID」 - iPhone Mania
パスキーは本当に2要素認証なのか問題、またの名を、あまり気にせず使えばいいと思うよ。|kkoiwai
iOS 17.3の新機能。盗んだiPhoneで好き勝手はさせない
マルチテナンシーのKubernetesクラスタとサービス間通信の認可
パスワードレス認証「パスキー」対応のアカウント総数は70億以上に、FIDOアライアンスが発表
認証と署名の整理をしましょう(またかよ) - Qiita
ドコモが「パスキー」を導入してフィッシング被害報告が0件に パスワードレス認証の効果
パスワードレス認証でフィッシング被害にも効果あり! パスキーを展開する「FIDOアライアンス」の現況とこれから
ISR、パスキー認証サービス「CloudGate MURO(仮称)」を発表 サブスク型でのセキュリティキー提供にも対応
Okta環境を狙うサイバー攻撃をセキュリティ企業2社はどう回避したか?
巧妙化するフィッシング攻撃、多段階認証も3割突破 - 日本経済新聞
PWA Night vol.57 ~認証・認可〜 にてパスキーの話をしました - r-weblife