サクサク読めて、アプリ限定の機能も多数!
トップへ戻る
ブックレビュー
support.trustlogin.com
パソコンやスマートフォンからChromeブラウザを利用している方の一部は、インターネットサービスにログインした際に、このようなポップアップが最近よく表示されるとお気づきになっているかもしれません。 「パスワードの確認 サイトまたはアプリでのデータ侵害により、パスワード情報が漏洩しました。保存したパスワードをすぐに確認することをおすすめします。」 このメッセージはどのような意味なのでしょうか。以下で解説します。 「パスワードの確認ポップアップ」=使い回しパスワードが漏えい 上記の「パスワードの確認」ポップアップの説明文をかみ砕いて説明すると、以下のようなことを意味しています。 現在入力したID、パスワードと全く同じ組み合わせが、過去に別なサイトから漏えいしています。 つまり、あなたは「複数のサイトで同じパスワードを使い回している」ことを意味します。 漏えいしたID、パスワードの組み合わせは、
「一度ログインすると、その後のログインは不要」という意味で用いられるシングルサインオン (SSO) は、特に企業においては当たり前のように導入されている技術になります。以下では、その仕組みについて、改めてご紹介したいと思います。 シングルサインオン (SSO) とは シングルサインオンとは、「一度システム利用開始の認証を行うと、別なシステムを新たに利用する際の認証を省略できること」「または、認証の省略を実現するための製品・システム・ツール」とご理解頂くのが最も分かりやすいかと思います。 例えば、同一企業内の5つのシステムを利用する際に、5回認証するのではなく、はじめの1度だけ認証を行ってしまえば、次からの4回の認証は省略できます。何度もID・パスワードを入れる必要がないため、ユーザーの生産性が向上します。 なお、詳細については以下の紹介記事に詳しい説明がありますので、ご一読いただければと思
2019年7月の「7pay事件」は記憶に新しいところですが、この事件がクローズアップされた際によく取り上げられた言葉に「二段階認証」という言葉があります。そもそも二段階認証とは何か。「二要素認証」「多要素認証」とは何が違うのか、見ていきたいと思います。 知っていますか?「二段階認証」の多くは間違いです セキュリティ向上のための「二段階認証」と聞いて、一般的に思い浮かべるのは、以下のような流れではないでしょうか。 最初、IDとパスワードを入力し認証を行う (一段階目の認証) 次に、IDとパスワード以外のものを入力して認証を行う (二段階目の認証) 二段階の認証を通過するとログインできる。 通常は、1段階目の「ID・パスワード認証」のみなので、認証が2段階で2回求められるので「1段階より安全」という理解が持たれています。しかし、これは2つの意味で正しくありません。 (1)二段階であること自体に
ID・パスワードを利用した認証に加えて、安全性を高めるために利用されることが増えてきた「SMS認証」ですが、SMS認証が傍受される大規模な事件が起こりました。SMS認証は安全ではないのです。 Redditで何が起こったか 2018年7月に、ニュースディスカッションサイトの Reddit は不正アクセスによる被害を発表しました。なお Redditは、世界で18番目にアクセスが多いサイトとしてよく知られています (順位はAlexa Top 500調べ)。 Reddit.com トップページ 不正アクセスにより漏えいした情報は多岐にわたります。スタッフのアカウント情報、ホスティング会社情報、バックアップ、ソースコード、そして多種多様なログです。 Redditは、ニュースに関する議論を匿名で行う掲示板としても利用されています。あえて実名を利用せずに投稿を行っている利用者からすると、ログが流出すると
「多要素認証」「パスワードレス」「生体認証」といったキーワードとともに、よく耳にするようになった単語の1つに、「FIDO2」があります。事実、検索エンジンにおいて「FIDO2」というキーワードで検索される回数は急増しており、その注目度合いがうかがわれます。 では、FIDO2とはそもそも何で、どのようなメリットや使われ方があるのか、以下で見ていきましょう。 「FIDO」と「FIDO2」の違い はじめに、FIDO2について触れる前に、「FIDO」について簡単に説明いたします。 FIDOとは、パスワードを使わずに認証を行うための技術の開発と標準化を進めるための「業界団体」であり、また「FIDO UAF」「FIDO U2F」「FIDO2」といった「FIDOが推進する認証技術の名称」にもなっています。ちなみに、FIDOは “Fast IDentity Online” の略語です。 なお、業界団体であ
ここ最近、8桁から12桁程度の文字列で認証を行うパスワード認証に加えて、より高いセキュリティの実現を目的とした「パスフレーズ」の利用が徐々に拡大しています。以下では、新たに登場してきたパスフレーズとどのように向き合えばよいかについてお伝えします。 PIN・パスワード・パスフレーズの違い 会社内の業務システムや、インターネット上のサービスを利用する際、ほとんどのサービスは「ID」と「パスワード」を要求し、サービス利用者の認証ならびに不正アクセスの防止を行っています。 パスワード (Password) は「ワード (Word)」という語がある通り、数字だけの数列でなく、数字とアルファベットの組み合わせを利用した秘密の文字列を指します。このパスワード文字列を、パスワード作成者(サービス利用者)のみが記憶し、第三者に知らせないようにすることで、パスワードを知っている人=正しいサービス利用者であると
「パスワードを盗まれないようにするには、定期的なパスワードが必要」。この考えは長らく情報セキュリティの基本中の基本でした。しかし、パスワードの変更に関して総務省が大幅な方向転換を発表しました。以下でご説明します。 「サービス提供者は定期変更を要求すべきではない」 これまで、ドメインやワークグループといった企業内のネットワーク、またはインターネットのサービスにおいて、ID・パスワードを使って認証する際には、ネットワーク管理者やサービス提供者がパスワードの定期変更を要求するのが一般的でした。例えば、「前のパスワードを設定してから90日が経過すると、ポップアップでパスワード変更の通知が表示され、7日以内に変更しないとロックされる」といったものです。 一例として、総務省の外郭団体である「独立行政法人 情報処理推進機構 (通称 IPA)」が、2012年に発表した「不正アクセス対策のしおり」という刊行
2017年6月に、米国政府機関であるアメリカ国立標準技術研究所(NIST)が「Electronic Authentication Guideline(電子的認証に関するガイドライン、以下『本ガイドライン』と略)」の最新版である「NIST SP 800-63-3」を発表しました。 本ガイドラインが世界の電子認証にどのような影響を及ぼすのか、特にパスワードと関連が多い部分に特化して解説します。 NIST SP800-63-3の位置づけ NISTは、アメリカ政府(商務省)傘下にある国営の研究所です。本ガイドラインは「現在の技術的動向を踏まえたうえで、アメリカ政府はこのような電子認証を取り入れるべき」というアメリカ政府向けの報告・提言という位置づけになります。この報告書を受けて、アメリカ政府はあらゆる電子認証に関するシステムを徐々に更新することで、不正アクセスや攻撃などの脅威から政府のデータを守り
Amazonの台頭が出版・流通・物流のビジネスモデルを一変させたように、IT技術の進化はこれまで常識とされてきたルールを根底から覆します。ネガティブな面でもそれは同じで、サイバー攻撃者の技術進化と情報共有は、これまで情報セキュリティの推奨事項とされていた「パスワードの定期的な変更」さえもまったく無意味なものに変えようとしています。 米政府機関が正式にパスワードの定期変更を否定した! NIST(National Institute of Standards and Technology/米国国立標準技術研究所)のITセキュリティ部門CSD(Computer Security Division)は、2017年5月に発行した『電子認証に関するガイドライン(文書800-63C)』において、「ユーザーが攻撃を受けた証拠がある場合を除き、認証側は定期的にパスワードの変更を求めるべきではない」と明記しま
Google製のインターネットブラウザ「Chrome」は、パソコンのブラウザとして、長らく最も利用されてきたInternet Explorerを抜いて、現在シェア1位になっています(2019年2月現在)。 そのChromeには「パスワード管理」ならび「オートコンプリート」という機能があります。例えば、様々なクラウドサービスにログイン時する際のID・パスワードなどの情報を、Chromeが保存・管理してくれるという機能です。 一見大変便利な機能に思えますが、セキュリティ的には大変危険であることから、いますぐにでもこの機能をOFFにする必要があります。 パスワードが平文で閲覧できてしまう危険性 Chromeのパスワード管理やオートコンプリート機能では、「ID」「パスワード」をはじめとする、ブラウザ上で頻繁に入力される情報をChrome内部で保存し、入力フォーム上で自動表示させます。これらの情報は
このページを最初にブックマークしてみませんか?
『support.trustlogin.com』の新着エントリーを見る
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く