OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
「@nifty」ログインにワンタイムパスワード認証--ID不正利用を防止
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ニフティは3月24日、「@nifty」のログインにワンタイムパスワード認証を導入した。ワンタイムパスワード認証の利用は無料で、ユーザーの任意で設定できるが、ニフティでは「より安心・安全にサービスを利用するためにも設定を勧める」としている。 ワンタイムパスワード認証は、PCやスマートフォンのウェブブラウザ上のログイン画面で、@niftyユーザー名か@nifty IDと、従来のパスワードで認証した後に、自動的に発行される1回限り有効な使い捨てパスワードを入力する。 ワンタイムパスワードの発行は、ニフティが提供する専用スマートフォンアプリ(iOS/Android対応)か、ユーザーが指定するメールアドレスを通じて行われる。もしIDとパスワードの
2013年のアキレス腱だったパスワード--2014年はどうなる?
John Fontana (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2014-01-08 07:30 2013年には、多くの人がパスワードを盗まれた。中には、盗んだ人もいるだろう。 米国防高等研究計画局(DARPA)の遺物であるパスワードは、かつては各自の頭の中にある秘密だった。しかし2013年には、盗まれたパスワードダンプを晒すPastebinやDump Monitor、そしてインターネットのさまざまなブラックホールでハッカーにもてあそばれる情報へと、簡単に変わるということが度々起こった。 新しいクラッキングツールでは55文字までのパスワードを解読することが可能になっており、IT部門やエンドユーザーはパスワードを使った方法はもう終わりだと感じつつある。 無数のパスワードが、Adobe(3800万件)、MacRumors(86万件)、Ubuntuのフォーラム(1
不正ログインを食い止めろ! OpenAMで認証強化
不正ログインを食い止めろ! OpenAMで認証強化:OSSによるアイデンティティ管理(2)(1/2 ページ) 多発するパスワードリスト攻撃による不正ログインに対しては、リスクベース認証やワンタイムパスワード認証を含む多要素認証が効果的です。今回はオープンソースのアクセス管理ソフトウェアであるOpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説します。 連載目次 不正ログインに対して今できること 2013年に入ってから多発しているパスワードの使い回しを狙った不正アクセス(不正ログイン)は、半年近く経った今も継続して発生しています。このような状況を受け、「パスワードを使った認証は限界」といった声も聞かれるようになっていますが、パスワードを使わない新しい認証方式を今すぐ全
Motorola、タトゥーと錠剤を用いる新たな認証手段を研究---英メディアの報道
米Google傘下のMotorola Mobilityは、タトゥーや錠剤を用いた認証手段を研究している。複数の英メディア(TelegraphやRegister)が現地時間2013年5月31日に報じた。 MotorolaのDennis Woodside最高経営責任者(CEO)は米Wall Street Journalの技術系情報サイト「AllThingsD」が主催するカンファレンス「D11」で、スマートフォンに体を近づけるだけでユーザー認証が行える将来的な手段として電子タトゥーを紹介した。 電子タトゥーは米MC10が開発したもので、センサーやアンテナなど柔軟に曲がるチップで構成され、ゴムスタンプで皮膚に貼り付ける。同カンファレンスでは米国防省の国防高等研究事業局(DARPA)からMotorolaに加わったRegina Dugan氏が実際にこの「バイオスタンプ」を腕に付けて登場し、スマートフォ
“ソーシャルフィンガープリンティング”という矛盾を孕んだテクノロジ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます キャッシュカードの不正利用を防止する技術として指紋認証というのがある。この認証方式が有効であるのは、指紋のパターンが人によって異なっているからだ。 そして、指紋認証(フィンガープリンティング)という言葉の接頭辞としてソーシャルを冠したサービスが開発されつつある。これを“ソーシャルフィンガープリンティング”と呼ぶ。これは、ソーシャルネットワーク上でのプロフィールや振る舞いが個々人にユニークであることに目を付けて、これを認証技術に応用しようというものだ。 Trustev(トラスティブ)のビジネスモデル Trustevは、2012年にアイルランドで設立されたスタートアップで、先月末にニューヨークで開催された「Disrupt NY 2013」の
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
わかりやすく解説 あなたのGmailを「2段階認証」で守れ! (1/3)
ここ最近、「Googleアカウントが乗っ取られてスパム送信の踏み台にされた!」といった報告が各所で相次いでいる。実際に筆者の比較的身近でも、同様の報告があった。これまでどおりの運用を続けて「まさか自分が……」という事態に陥らないためにも、セキュリティ強化のための対策として「2段階認証」(2-Step Verification)導入の検討をお勧めしたい。この記事では2段階認証の仕組みと、実際の設定方法について、わかりやすく解説してみた。 そもそも「2段階認証」とはなんぞや? Gmailなどのサービスを利用する場合、通常はGoogleアカウントのログイン時に「アカウント名」(ID)と「パスワード」を入力し、これで認証を行なう。ただし、Googleに接続できるオンライン環境であれば、どこからでもサービスにアクセスできるため、IDとパスワードのセットが盗まれたり、あるいはIDのみを入手した悪意ある
ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話
はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を
Yahoo! JAPAN IDを守る「ワンタイムパスワード」がついに登場
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDサービス ID厨の渡邉 康平です。今回、ワンタイムパスワード(One Time Password, OTP) を導入しましたのでご紹介します。 はじめに最近、インターネット上ではパーソナライズされたwebサービスが多く存在し、そこでは様々な顧客情報を扱っています。もしフィッシングなどによりアカウントのパスワードが盗まれた場合のダメージは図り知れません。 Yahoo! JAPANでは、今まで様々な体制で顧客情報の保護対策をしてきましたが、従来のセキュリティではIDとパスワードの組み合わせだけで、まだまだ十分とは言えません。そこで、セキュリティをより強固なものにする為に新しくワンタイムパスワードを8/20(ヤフーの日)
ワンタイムパスワード - Yahoo! JAPAN IDガイド
ワンタイムパスワードを設定すると、万が一他人にパスワードを知られてしまっても、不正ログインの危険を回避できます。 ワンタイムパスワードとは? ログインのたび認証画面が表示され、ワンタイムパスワードが発行されます。本人のみが受け取れ、1回限り有効な時間制限のあるパスワードのため盗まれるリスクが著しく低く安全です。
Yahoo!JAPANが「ワンタイムパスワード認証」を導入
ヤフーは2012年8月20日、同社が運営するポータルサイト「Yahoo!JAPAN」へのログイン方法に、ワンタイムパスワード認証を導入した。利用は無料。同社サイトで利用設定を行うと、従来のYahoo!JAPAN ID/パスワードによる認証成立後にワンタイムパスワードの入力を求められるようになる。 ワンタイムパスワード認証とは、自動生成される1回限り有効な使い捨てパスワードを入力してユーザーを認証する方法である。Yahoo!Japanでワンタイムパスワードの利用を設定すると、ID/パスワードによるログイン操作のたびに、あらかじめ指定したメールアドレスにワンタイムパスワードを記したメールが届くようになる。 ワンタイムパスワードを使って、ユーザーはPC、スマートフォンのWebブラウザで利用できるすべてのYahoo!JAPANサービスへログイン可能だ。一度、ワンタイムパスワードでログインしたPCで
ヤフー、不正利用を防止する新機能「シークレットID」
ヤフーは5月22日、Yahoo! JAPAN IDの不正利用を防止するための新機能「シークレットID」を提供開始した。Yahoo! JAPAN IDやニックネームとは別に、ログイン時にのみ使用できる秘密のログイン専用IDとなっており、登録情報ページから設定できる。 一般的にウェブサービスにログインする際には、IDとパスワードの入力が求められるが、IDには公開情報である自身のアカウント名やメールアドレスが使用されていることが多い。これについてはYahoo! JAPANも同様であり、公開情報からIDが特定され不正利用されるリスクがあったことから、新機能を実装したという。 シークレットIDを適用すると、これまでログイン時に使用していたYahoo! JAPAN IDやニックネームではログインできなくなり、シークレットIDでのみログインできるようになる。シークレットIDを使用しない場合は、従来通りY
新機能「シークレットID」を使ってみよう
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部 IDプラットフォームチームのID厨の一人、山口修司です。シークレットIDという新機能をリリースしましたのでご紹介します。 はじめに ここ最近、プライバシーやセキュリティに関する事件のニュースをよく耳にするようになっています。インターネット上でのプライバシーやセキュリティに関する意識が高まりつつあり、ID・パスワードの流出などを心配されている方も少なくないのではないでしょうか。Yahoo! JAPANでは企業の社会的責任として、しっかりとした体制で顧客情報の保護対策をしていますが、フィッシング行為やIDのパスワードをクラックされるなどのリスクはゼロではありません。Yahoo! JAPANではこれまでもYa
ビザ、ダイナミック認証などで不正取引を水際で防止 - @IT
2012/04/20 ビザ・ワールドワイドは4月19日、同社のセキュリティに対する取り組みについて説明会を開催した。米ビザのチーフ・エンタープライズ・リスク・オフィサーを務めるエレン・リッチー氏は、「予防」「保護」、それに犯罪が起こったときの「対策」という3つの多層的な取り組みを通じて、信頼を高めていきたいと述べた。 予防のステージで取っている対策には、ICチップを搭載したEMV仕様のカードの普及と、それを利用し、決済のたびに異なるコードを生成して認証を行うダイナミックデータ認証といったものが挙げられる。 保護の段階で大きな役割を果たすのは、加盟店でのセキュリティ対策だ。各加盟店でカード情報が盗まれないように暗号化/トークナイゼーションを行ったり、はじめからデータを保管しないようにする「データ非保持」といった取り組みを推進している。また、どうしてもカード情報を保管せざるを得ない場合、「PC
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
「複雑すぎるパスワードポリシー」が生み出す問題とは - @IT
2011/03/10 「パスワードポリシーはますます複雑化し、ユーザーの大きな不満の原因となっている。再発行などに対応するヘルプデスクの手間、コストも大きい」――。 日本ベリサインは3月9日、認証ソリューションに関する説明会を開催した。米シマンテックのユーザーオーセンティケーション担当バイスプレジデント、アトリ・チャタジー氏は、パスワード認証にまつわる問題点をこのように指摘し、より強固で高度な認証が求められていると述べた。 ベリサインは2010年9月から11月にかけて、フォレスターリサーチに委託し、企業における認証の現状について調査を行った。北米の306社を対象としたこの調査からは、パスワードポリシーがますます複雑化していること、それにともない企業のヘルプデスクの負荷およびコストが高まっていることが明らかになった。 例えば、回答企業のうち87%では2つ以上の、27%は6つ以上のパスワードを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求
http://japan.internet.com/busnews/20111003/14.html
サイバー攻撃最新事情 - 日本経済新聞
