パスワード管理/MFA管理の戦略
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
PowerShell Secrets Managementモジュールが開発者向けに公開されました | DevelopersIO
しばたです。 以前紹介した新しい認証情報管理のためのMicrosoft.PowerShell.SecretsManagementモジュールがDevelopment Releaseという形で開発者向けに公開されました。 PowerShell Teamからのアナウンスは以下となります。 本記事ではこのモジュールを実際に試してみました。 試してみた 細かい説明は後にして最初に動作を試してみます。 私が普段使っている開発機(Windows 10 November 2019 Update(1909) + PowerShell Core 6.2.4)が検証環境です。 モジュールのインストール Microsoft.PowerShell.SecretsManagementモジュールはPowerShell Galleryからインストールできます。 モジュールのバージョン付けとしてはVer.0.1.0-alp
.NET Core で暗号論的疑似乱数生成器を使ってソルトを作成し、PBKDF2でパスワードのハッシュ化を試みる - 銀の光と碧い空
この時代、自前でパスワードの管理などしたくはないのですが、しないといけないケースもあるでしょう。最低限やらないといけないこととしては、ソルト生成した上でハッシュ化したパスワードを保存することではないでしょうか。.NET Coreでこれらの処理を行う必要があった時に調べたコードをまとめます。 まずソルトを作成する場合、.NET CoreではRNGCryptoServiceProviderクラスを使って暗号論的に乱数を生成します。GetBytesメソッドは、引数に指定したbyte配列を、生成した乱数で埋めます。 docs.microsoft.com 次にパスワードのハッシュ化ですが、PBKDF2を利用する場合、Rfc2898DeriveBytesクラスを利用できます。ハッシュ化対象の文字列、ソルト、反復回数、ハッシュアルゴリズム名を指定できます。ハッシュアルゴリズムはデフォルトがSHA1なので
PDFのデジタル署名をクラッキングする
ある調査チームが、署名の効力はそのままに、署名付きPDFファイルの内容を書き換えられるかどうかを調査しました。 PDFファイルは、ほとんどの企業や政府機関で使用されています。PDF形式の文書の真正性を保証するのには、デジタル署名がよく使われます。デジタル署名付きのファイルをPDFビューアーで開くと、この文書が署名されていることを示す目印と署名した個人や団体の名称が表示され、署名の妥当性を検証するためのメニューにアクセス可能となります。 さて、ドイツの複数大学のリサーチャーから成る調査チームが、PDF署名の堅牢性テストを実施しました。Chaos Communication Congress(36C3)では、ルール大学ボーフム校のウラジスラフ・ムラデノフ(Vladislav Mladenov)氏が、その成果を披露しました(英語)。 調査チームが調査したのは「署名付きPDF文書の内容を、署名を無
オープンソースハードウェアは安全性を保証できるか
Chaos Communications Congressでの講演で、オープンソースハードウェアを使用してハードウェアの信頼問題を解決できるかどうかの検討が行われました。 オープンソースソフトウェアは市販のソフトウェアよりも安全である。このように考える人は多く、最近はハードウェア開発にも同様の理論を当てはめようという動きが見られるようになりました。しかし、先月行われた第36回Chaos Communication Congress(36C3)では、アンドリュー・”バニー”・ホアン(Andrew “bunnie” Huang)氏、ショーン・”xobs”・クロス(Sean “xobs” Cross)氏、トム・マーブル(Tom Marble)氏が、オープンソース開発の採用でハードウェアの信頼問題を十分に解決できるだろうかとの疑問を提起しました(リンク先はいずれも英語)。スピーカーとして登壇したの
PowerShellの新しい認証情報管理(PowerShell Secrets Management)について | DevelopersIO
しばたです。 11月4日~8日に開催されたMicrosoft Ignite 2019ではPowerShell 7に関するセッションも幾つか発表されたのですが、その中で以前公開されたロードマップで発表された認証情報の管理基盤について触れているものがあったので本記事で紹介します。 PowerShell Secrets Management 本記事で紹介するセッションはこちらです。 Microsoft Azure: PowerShell secrets management このセッションはPowerShell TeamのSydney Smithさんによるショートセッションで、複数の認証情報ストアへのアクセスを統一的に行うMicrosoft.PowerShell.SecretsManagementモジュールの概要と、このモジュールを使いAzure Key VaultからPowerShell Ga
Kaspersky、Disclose.ioプロジェクトに参加
セキュリティリサーチャーに「セーフハーバー」を提供するDisclose.ioプロジェクトにKasperskyも参加します。 突然ですが、セキュリティ製品を買うときに、あちらではなくこちらの製品を選んだのはなぜですか?こちらの方が安いからこちらの方が信頼できるから、ではないでしょうか。では、セキュリティリサーチャーはなぜ、あのアプリではなくこのアプリの解析に時間をかけるのでしょう?それは、このアプリを開発した会社の方を信頼しているからです。世の中の企業は、自社製品に脆弱性が発見されることを歓迎する企業ばかりではありません。実際、法に訴えるとリサーチャーを脅す企業も存在します。 一般に、どの製品や企業を選ぶかは、信頼できるかどうかにかかっています。信頼は1度の失敗で簡単に損なわれますが、構築するのは非常に困難です。信頼とは、言ってみれば何千ものレンガでできた塔のようなもの。塔を破壊するにはレン
「スマート」南京錠を買うべきではない理由
先日、YouTubeでLockPickingLawyerチャンネルの動画を一気見してしまいました。このチャンネルの動画には、特にピッキングとは無縁だった人間にとって、学ぶところが多くありました。中でも特に印象に残ったのは、物理的セキュリティの面で「スマート」南京錠がいかに役に立たないかでした。 おことわり:皮肉をこめて「スマート」とカギ括弧を付けて表現しましたが、本文全体を通してこうするのはやり過ぎだと思うので、これ以降はやめておきます。「スマート」という言葉が出てきたら、私が心の中でカギ括弧をつけていると考えてください。ちなみに、南京錠も「南京錠」です。 では、eGeeTouchのスマートトラベルロックから始めましょう。この南京錠は、スマートフォンアプリ、または近距離無線通信(NFC)タグで解錠することになっています。どんなスーツケースのロックでも開けられるTSAマスターキーを3Dプリン
TechCrunch | Startup and Technology News
William A. Anders, the astronaut behind perhaps the single most iconic photo of our planet, has died at the age of 90. On Friday morning, Anders was piloting a small…
PowerShell でsudo っぽいものを内蔵した関数を作る - tech.guitarrapc.cóm
時々思い出したようにPowerShell の記事を書いてみます。 スクリプトでよくあるのが、sudo で実行時に権限があるスクリプトの許可をしたいというケースです。 Windows は組み込みsudo がないので面倒でしたが、現状なら scoop で sudo をインストールするといいと思います。 https://scoop.sh/scoop.sh scoop install sudo これで sudo ./your_script.ps1 とできるので特権が必要なときに、必要な権限を渡すことができます。 さて今回の記事は、Windows において実行中のスクリプトや関数が特権が必要な場合に、sudo を使わずにUACダイアログを出して昇格したPowerShellで同関数を実行し直してほしいというケースです。 通常の特権昇格フロー + Windows Diffender操作のため利用には注意
AWS Secret Manager を使ってASP.NET Core のシークレット情報を扱う - tech.guitarrapc.cóm
.NET Core で AWS において機微情報を扱うときに、AWS Secret Manager や System Manager の Parameter Store が候補に上がります。 ここでは、Secret Manager を使った ASP.NET Core での組み込みについて書いておきます。 目次 目次 TL;DR AWS Secret の選択 AWS SecretManager の用意 AWS Secret Manager にデータをいれる 呼び出し元がSecret Managerにアクセスできるようにする .NET Core で AWS Secret Manager の呼び出しを行う ASP.NET Core や Generic Host で AWS Secret を取り扱う ASP.NET Core で Secret Store から値を取得する 使いやすく修正する Se
GitHubでのトークンと暗号化キーの漏洩
GitHubでは、トークンや暗号化キーが多数見つかっています。それが危険である理由と、漏洩を防ぐ方法とは。 ノースカロライナ州立大学のリサーチャーは、トークンや暗号化キーなどの機密データがオープンな形で保存されているプロジェクトがGitHubに10万件以上あることを発見しました(英語記事)。パブリックドメインで見つかったそのようなオブジェクトは合計50万個以上、ユニーク数にして20万個以上でした。しかも、これらはGoogle、Amazon MWS、Twitter、Facebook、MailChimp、MailGun、Stripe、Twilio、Square、Braintree、Picaticなどの大手企業が発行したトークンでした。 GitHubは、ソフトウェアの共同開発でよく使われるリソースです。オープンアクセスまたは制限付きアクセスの状態でリポジトリにコードを保存し、関係者と連携してプロ
海賊版ゲームをダウンロードしてはならない理由
ただ海賊版ゲームをダウンロードしたかっただけなのに、マルウェアに感染してしまった。そんな事例が増加している理由を説明します。 ブランドンは、コンピューターゲームを無料でプレイしたかっただけでした。 彼は、SMS認証も登録もしないでゲームを無料でダウンロードするにはどこへ行けば良いか知っています。インターネットには、「海賊版ゲームを無料ダウンロード。ウイルス感染なし」などという見出しを掲げたサイトがたくさんあります。 当然、ゲーム開発者もそこは承知していて、著作権侵害と戦うさまざまな手段を用意しています。しかし一方で、開発者の講じる手段をかいくぐり、クラックされた(海賊版の)ソフトウェアをアップロードし、ほかの人が無料でプレイできるようにオンラインで共有するハッカーも存在します。 ブランドンは今回、プレイしたいゲームに必要なクラックツールの名前まで分かっていました。ゲームとクラックツールの名
SiliVaccine:北朝鮮のアンチウイルス製品
北朝鮮のアンチウイルス製品「SiliVaccine」のコードを専門家が解析したところ、興味深い点が次々と見つかりました。 ある日、Check Pointの調査チームの元に、マーティン・ウィリアムズ(Martyn Williams)というBloombergのジャーナリストから1通のメールが転送されてきました。そのメールは日本から送られてきたとされるもので、北朝鮮のアンチウイルス製品が添付されていました。北朝鮮のソフトウェアなど、めったにお目にかかれるものではありません。マーク・レクティック(Mark Lechtik)氏とマイケル・カジロティ(Michael Kajiloti)氏はこのウイルス対策ツールがどんなものかを調査し、その結果を第35回Chaos Communication Congress(35C3)で発表しました。 北朝鮮のアンチウイルス製品についてお話しする前に、北朝鮮とインター
パスワード管理をTeamsId から Bitwarden に移行した - tech.guitarrapc.cóm
今のパスワード管理に小さな不満があるので長年次のパスワード管理をさがしていたのですが、Bitwardenが今ある全ての望みをかなえてくれました。 bitwarden.com 今回、TeamsId から Bitwarden に全面移行したのでその移行についてメモをしておきます。 目次 目次 今まで使ってきたパスワード管理 TeamsId を見返す 検討したサービス Bitwarden Bitwardenの使い方 TeamsIdからの移行 下準備 実装 TeamsId Csv の解析 TeamsId のフィールド解析、値取得 変換時の注意 インポート まとめ 今まで使ってきたパスワード管理 個人のパスワード管理は、2015年3月まではMeldiumを使ってましたが Discontinueが発表されてからはTeamsId を使っていました。 www.teamsid.com TeamsId を見返
2段階認証の種類、長所と短所:SMS、2段階認証アプリ、YubiKey
なぜSMSを使った2段階認証が最善の選択肢ではないのか、その他にどのような選択肢があるのか、考えてみましょう。 長らくコンピューターマニアの領分だった2段階認証(2FA)ですが、ここ数年、ようやく日常的な話題として上がるようになってきました。しかし、そのほとんどが、SMS経由で送られるワンタイムパスワードを使った2段階認証の話に留まっています。悲しいことに、これがいちばん信頼できる選択肢というわけではないのです。理由はいくつかあります。 ロック画面上に通知を表示する設定になっている場合、SMSで送信されたパスワードは簡単にのぞき見られてしまいます。 通知をオフにしてあっても、SIMカードを別のスマートフォンに移し替えられてしまった場合、移し替えた先のスマートフォンで、パスワードの書かれたSMSメッセージが見られてしまいます。 スマートフォン内に潜むトロイの木馬に、パスワードが書かれたSMS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
NTT東/西日本の「ひかり電話ルータ/ホームゲートウェイ」に脆弱性
【特集】 Spectre V2対策による性能低下を緩和する「Retpoline」の効果を確認する
Broadwell以前でも性能低下がほぼない「Spectre V2」対策がWindows 10に実装へ
https://jp.techcrunch.com/2019/02/22/tapplock-one/