「認証」を整理する | IIJ Engineers Blog
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
パスキーが快適すぎる - yigarashiのブログ
パスワードレスな認証方式である「パスキー」が急速に普及しています。OS、ブラウザ、パスワード管理ツール、サービス提供者のどれもが整いつつあり、ついに本当にパスワードが必要ない世界がやってきたことを感じます。この記事では、本腰を入れてパスキーを使い始めて快適になるまでの様子をまとめます。技術的な厳密さ・網羅性には踏み込まず、いちユーザーとしての入門記事という位置付けです。 パスキーとは パスキー - Wikipedia 認証、セキュリティに関しては門外漢なので、Wikipediaのリンクを置いておきます。私よりはWikipediaのほうが信用に足るでしょう。 そこから辿れるホワイトペーパー:マルチデバイス対応FIDO認証資格情報を読むと、多少ストーリーもわかります。FIDO2というデバイスに格納された秘密鍵に依存したパスワードレス認証の仕様に、暗号鍵(と訳されていますが秘密鍵のことで良い……
仕様が読めるようになるOAuth2.0、OpenID Connect 入門
2023/10/05 Offersさんのイベントでの資料です。 https://offers.connpass.com/event/295782/ イベント後の満足度アンケート(5点満点)の結果は以下になります。 5点: 49% 4点: 39% 3点: 8% 2点: 4% こちらのスライドの内容は以下の本の抜粋になります。デモの内容、このスライドでは触れていないことについてご興味ある場合は以下の本をご参照ください。 https://authya.booth.pm/items/1296585 https://authya.booth.pm/items/1550861 本発表で扱っていないセキュリティに関しては以下の本がおすすめです。 https://authya.booth.pm/items/1877818 本の評判 https://togetter.com/li/1477483
AIの進化でボットの方が人間よりも高速かつ高精度でCAPTCHA認証を突破することが可能に
インターネットでサービスを利用を行う際、自身がロボットでないことを証明するために「CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)」というテストを要求されることがあります。CAPTCHAについて調査を行ったカリフォルニア大学の研究チームによる実験で、CAPTCHAテストの解読速度や正答率は人間よりもボットの方が優れていることが判明しました。 [2307.12108] An Empirical Study & Evaluation of Modern CAPTCHAs https://doi.org/10.48550/arXiv.2307.12108 So much for CAPTCHA – bots can do them quicker than humans • Th
GitHub.comにパスワードレス認証の導入
パスキーがパブリックベータ版にて利用が可能になりました。オプトインすることで、セキュリティキーをパスキーにアップグレードし、パスワードと2FA方式の代わりにパスキーを使用することができます。 セキュリティ侵害のほとんどは、珍しいゼロデイ攻撃によるものではなく、ソーシャルエンジニアリング攻撃、認証情報の盗用または漏洩、被害アカウントやその先のリソースへの広範なアクセス権を攻撃者に提供する手段など、低コストな攻撃によるものです。実際、私たち全員が頼りにしているパスワードは、データ漏洩の80%以上の根本原因となっています。 だからこそ、私たちGitHubは「ユーザーエクスペリエンスを損なわない」という約束を守りながら、すべての開発者が強固なアカウントセキュリティを担保できるよう支援しています。GitHub全体の取り組みとして2要素認証(2FA)の採用から始まり、本日よりパスキー認証をパブリックベ
Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活
β公開された1Passwordのパスキー対応について調べてみた - r-weblife
こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすることでクロスプラットフォームなパスキー利用環境が整うのか?と注目が集まっています。 個人的に1Passwordを活用しているので、使い勝手を見てみました。 環境は Chrome バージョン: 114.0.5735.133 @ macOS です。 1Passwordのβ版の拡張機能を有効にすることで動作確認ができます。 Relying Partyにはwebauthn.ioを利用します。 webauthn.io パスキーの生成/登
パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?
パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか? LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。 Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK — LastPass (@LastPass) June 6, 2022 We’ve joined
Google認証なリバースプロクシ&静的コンテンツ配信サーバー「gate」 - unknownplace.org
Kibana や Grafana を使う時に、これらはjsのツールなので、 Erasticsearch や InfluxDB といったバックエンドサービスにjsからアクセスできるようにする必要がある。 そのためには、 普通にバックエンドサービスのportを開放 nginxとかでリバースプロクシ とかする必要があり、めんどくさい。 さらにセキュリティのことを考えると、2の方法のうえに、nginxでSSL+Basic認証なんかにする必要があってよりめんどくさい。 さらに、僕はBasic認証が嫌いだ。 昔は Firefox + 1Password で良い感じにBasic認証の入力が行えたが、いまはだめになってしまったし、 Basic認証だとアカウントの管理もめんどくさい。 なので、Google認証なhttpdでリバースプロクシもできる、gateというツールを作った。 https://github
Evernoteが「2段階認証」に対応!設定方法をご紹介します。 | AppBank
AppBank の主任です。 以前に CEO がインタビューで発言していたように、Evernote で「2段階認証」が利用できるようになりました。 2段階認証は ID・パスワードの他に、その時々で生成される確認コードを入力する認証方法。ID・パスワードを盗まれても、アカウントが乗っ取られる可能性が低くなります。 現在、この機能を利用できるのはプレミアム会員・Evernote Business ユーザーに限られていますが、今後、全てのユーザーで利用可能になります。 というわけで、さっそく2段階認証の設定方法をご紹介いたします。 2段階認証を有効にする PC のウェブブラウザで Evernote にログインします。 すべてを記憶する | Evernote(右上の【サインイン】から) 次に右上のアカウント名をクリックし、メニューの【設定】をクリック。 【セキュリティ】をクリックします。 「2段階
http://iw3.me/224/
For full functionality of this site it is necessary to enable JavaScript. Here are the instructions how to enable JavaScript in your web browser.
【画期的!!】1分でWordPressにGoogle認証システムをいれる簡単な方法
昨日、四苦八苦してGoogleの2段階認証を設定してそれをWordPressに搭載するということ書きましたら、もっと簡単にできることが判明しました。柿崎君ありがとう。Googleアカウントにログインしなくても、自分のGoogleアカウントを2段階認証にしなくてもWordPressに設定できます。 WPを速攻で2段階認証!! = 1分で感動 ww の簡単なやり方です。 まずGoogleの認証アプリをダウンロード。ここまでは同じ。 Android版も当然あります そうしましたら次にWordPressに Google Authenticatorというプラグインをいれます。 管理画面から ユーザー → あなたのプロフィール に行きます。そうしますと、こういうのが出ています。これはアカウントIDごとに設定します。つまり複数のユーザーがひとつのWordPressを管理している場合、一人が設定してもすべ
WASForum 2010 - 発声練習
WASForumに参加してきた。面白かった。なんとなく知っていたキーワードをちゃんと説明してもらって位置づけをはっきりすることができたし、今の流行りはどのあたりなのかを知ることができた。プログラムはこちら。Twitterの#wasfタグを使っていたらしい、それに関するつぶやきはTogetter:WASForumまとめにまとめられていた。 終始、高木さんがネタになっていたのは面白かった。そして、高木さんもそれを遠慮なく利用して、セッションハイジャックの実例を…。たのしいフォーラムでした。講演者のみなさま、開催者のみなさま、おつかれさまでした。 門林さん:オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 ちょいとあおり気味のオープニングセッションだった。 松岡さん:国民のためのウェブサイトを運営するID認証の舞台裏 Yahoo JapanにおけるID認証周
[php] ワンタイムURLの作成と登録確認のメール送信
ユーザー登録の確認で、入力されたメールアドレスに有効期限つきのURLが送信されて そのリンクをクリックしてページを表示して初めて登録が完了するというのがある。 それについてGoogle先生に聞いても具体的に教えてもらえなかったので、想像だけで組んでみた。 send: ユーザーから送信された登録情報をチェック エラーがなければトークン作成 トークンを名前にしたテキストファイルをトークンディレクトリに作成 作成されたトークンファイルに有効期限のタイムスタンプ保存 トークンを追加したURLを本文に書いたメール送信 送信しましたメッセージ表示 access: メール送信したURLにアクセスがある GETでトークン取得 トークンディレクトリから同名のファイルを検索 ファイル作成日+期限と現在時刻の比較 期限内であればtrue ファイル削除 期限外であればfalse ファイル削除 フォルダをテーブルに
![[php] ワンタイムURLの作成と登録確認のメール送信](https://cdn-ak-scissors.b.st-hatena.com/image/square/8d71ff5111e05619a10d29bb40d7aebaa75c8fbc/height=288;version=1;width=512/https%3A%2F%2Fs0.wp.com%2Fi%2Fblank.jpg)
同人サイトのアクセスコントロールについて考えた - いんたーねっと日記
けろりん手帳 - 「オンラインブックマーク禁止」に対する一般(というかはてブ民)と、女性向けオンライン同人との意識の差あたりに関連して。 電車の中でぼーっとしていたら増井先生の画像なぞなぞ認証に似たシステムが同人サイトによくある「検索避け」「リンクはトップページに」「オンラインブックマーク禁止」あたりの同人サイトローカルルール問題をうまく解決する方法になりそうだと思ったメモ。なぜこれを思いついたのか自分でもよくわかりません。 同人サイト周辺の問題は冒頭に貼ったページを読んでもらうとして、ここで解決できるんじゃないかと思っているのは、 自分のサイトが好ましくない人に見られるのを避ける 二次創作の元ネタの版権関係者 ナマモノの本人や関係者 子供 同人活動の内容に嫌悪感を抱く人 トップページ以外にリンクされたりブックマークされたりするのを避ける というあたりです。元々、好ましくない人に見られない
高木浩光@自宅の日記 - ユニークIDがあれば認証ができるという幻想
■ ユニークIDがあれば認証ができるという幻想 2008年のNTTドコモによるiモードID送信開始以降、ケータイWebの世界に「かんたんログイン」なるエセ認証方式が急速に広がり、その実態は「はてなのかんたんログインがオッピロゲだった件」のように惨憺たるものになっている。こうした欠陥サイトはかなりあると考えられ、すべてを調べて廻ることはできないが、いくつかのメジャーどころのサイトについては、IPAの脆弱性届出窓口に通報して、対策を促す作業をやっている。 各サイトの「かんたんログイン」に欠陥があるかどうかは、実際に他人のIDでなりすましログインしてテストすることは許されない(不正アクセス禁止法違反になる)ので、自分用のアカウントを作成して(会員登録して)、自分のIDについてテストするのであるが、誰でも会員登録できるわけでないサイトがかなりあるようで、そういったサイトはどうしたらよいのか。以下は
docomo ID認証が怪しげすぎる件 | [ bROOM.LOG ! ]
ニコニコPodder iPhone/iPod/iPad対応ニコニコ動画簡単インポートツール aggregateGithubCommits GitHubレポジトリでのコミット数をAuthor/期間別に集計します probeCOCOATek 新型コロナ接触確認アプリCOCOAが配布するTEKを表示・集計 NTTドコモがOpenIDを採用、PCサイトも“iモード認証”が可能に 「docomoがOpenIDに対応した」と話題になっているが、よくよく仕様書を見ると怪しげな点が多い。 ポイントはこの3つ。 ・RPに規制は無い(当たり前だけど)。つまり勝手サイト(勝手RP?)でも利用可能。これはケータイでも同じだけど ・iモードIDとUser-Agentを取得できる ・iモードID 取得はAXでもSREGでも無い独自仕様 つまり簡単に言うと、勝手サイトを立ててdocomo IDでログインできるようにして
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
HybridAuth, open source social sign on php library
www.fuzzydevelopment.net is Expired or Suspended.