社内認証パスワードレス化のすゝめ
パスワードレスとは 「パスワードレス」とは言葉通り「パスワードが要らない」という意味です。パスワードにはたいてい「英数字・記号を含む8文字以上の複雑な文字列にしてください」「一年ごとに変更をしてください」といった煩わしい制約が存在します。利用者にしてみれば毎回違うパスワードを考えたり覚えたりするのは負担ですし、結局簡単なものや同じようなパスワードを使いまわしがちになり、管理者としても望んだ結果ではないという問題があります。パスワードレスはそういった煩わしさから利用者・管理者双方を解放します。 ヤフーの社内認証事情 ヤフーには一万人を超える社員が在籍しており、毎日一回以上認証の機会があります。 社員が社内ツールにアクセスすると、まずはじめに共通の入口である内製の社内認証基盤へとリダイレクトされます。そこで社員は実際のログイン手段として以下の三種類の認証方式から選択します(図1)。 社内ID/
マイクロソフトのサービスでパスワードレス認証を利用するユーザーが大幅に増加
Microsoftは、同社のパスワードレスログインソリューションの月間ユーザー数が1億5000万人に達したことを明らかにした。同社が2019年11月の年次カンファレンス「Microsoft Ignite」で発表した際のユーザー数は1億人だった。 World Password Day(世界パスワードの日)を祝う同社のブログ投稿には、職場のアカウントでの生体認証の使用が1年で倍増するだろうという予測が記されている。 Microsoftは「Microsoft Azure」や「GitHub」「Microsoft Office」「Xbox」といった同社の製品とサービスでパスワードレス認証をサポートしているため、IT管理者が「Azure Active Directory」(Azure AD)のシングルサインオン(SSO)機能を有効にしておくことで、ユーザーは「Windows Hello」のネイティブ機
Windows 10、パスワードなしの世界へ一歩前進 (1/2)
Windows 10 Ver.2004となる「May 2020 Update(20H1)」がどうやら完成したらしい。先週Slow Ringで公開されたBuild 19041.207がRelease Preview Ringで配信になる。大きな問題が起こらなければ、5月には一般向けの配布が開始される予定だ。 この20H1の最大の改良点は、WSL2(Windows Subsystem for Linux 2)だ。これに比べると他の改良点はちょっと小粒か“地味”なものだ。しかし、この地味な改良の中にも重要なものもある。それは「パスワードレス」に関する内容だ。 Windows 10におけるパスワードレスとは? Windowsでは、マルチユーザーに対応したWindows NTからサインイン(世間一般ではログインということが多い)という操作をしてからパソコンが利用できるようになった。それ以前のMS-D
Free Open Source Password Manager | bitwarden
Password ManagerSecure your digital life with the password manager trusted by millions. For personal useMillions of users choose Bitwarden to protect themselves and their families Security for you and your family For business useCountless businesses and enterprises choose Bitwarden to secure their interests Protection for teams and enterprises
KeePassと互換性のあるオープンソースのクロスプラットフォーム対応パスワードマネージャ・「KeeWeb」
KeeWebはWinのOSSパスマネ、KeePassと互換性のあるクロスプラットフォームなパスワードマネージャです Webとありますが、macOS、Windows、Linux等のデスクトップアプリとWebアプリの両方が用意されています 使ってみましたが、割とよさそうでしたので少し機能をご紹介します 使ってみた 試しに使ってみました。基本的な機能は任意のWebサイトのパスワード管理やクレジットカード情報の管理、それぞれの暗号化、検索、タグ付け、アイコン設定、カラーラベルによるカテゴライズ、カラーテーマ変更、ランダムなパスワード生成ツールなどとなります 他にもDropboxやOneDrive、GoogleDrive等と同期したり履歴からデータをロールバックしたり各項目に添付画像を紐付けたり、他にもいろいろある様です 登録項目はいろいろあるんですが、基本的にはユーザー名、パスワード、ドメインだけ
若者のパスワード管理方法は「スマホメモ」が最多--約2割が個人情報漏えいを経験
若年層がメインユーザーのスマートフォンアンケートアプリを運営するテスティーと、CNET Japanが共同で現代の若者たちの実態に迫る同連載。第16回目は10〜30代の男女1371名(10代:431名、20代:475名、30代:465名)を対象に「個人情報に関する調査」を実施した。アンケート実施日は7月17日。 パスワード管理方法は「スマホメモ」が最多 まず、アカウントを保有しているSNSを調査した。全年代において約9割がLINEを保有していることがわかった。最も保有率が低い30代男性でも82.3%と8割を超えており、10代女性においてはほぼ100%が保有している。Twitter、YouTubeは若年層、Instgramは全年代において女性の保有率が高く、Facebookは10代の保有率が2割を下回る結果となった。 次に、SNSやサービスに登録する際のパスワード・IDの管理状況について尋ねた
Firefox Lockbox - Mozilla製のパスワード管理
MOONGIFTはオープンソース・ソフトウェアを紹介するブログです。2021年07月16日で更新停止しました Webにおいて認証管理は大事な要件になっています。適切なツールを使わないと、ついパスワードを使い回してしまったり、安易なものを設定してしまいます。その結果、一つの漏洩が他のサービスへの不正アクセスに繋がったりします。 そうした問題を防ぐためのソフトウェアが幾つかありますが、今回はFirefoxユーザ向けのFirefox Lockboxを紹介します。 Firefox Lockboxの使い方 Firefoxアカウントでログインします。 登録されているアカウントが一覧されます。 コピーしたり、パスワードを直接見られます。 設定です。 Firefox Lockboxは閲覧用のソフトウェアになっており、アカウントを追加できません。基本はデスクトップのFirefoxありきで、そちらで登録したア
パスワードを使わない「WebAuthn」がウェブ標準に--W3Cが勧告
World Wide Web Consortium(W3C)とFIDO Allianceは米国時間3月4日、「Web Authentication(WebAuthn)」をログイン用の正式なウェブ標準とすることを発表した。 両団体は、プレスリリースの中で次のように述べている。「パスワードの有効性が信頼できるものではないことは広く認識されている。データ漏えいの81%が、パスワードの盗難のみならず脆弱もしくはデフォルトのパスワードの利用によって発生しており、これらは時間と資源の浪費となっている」 W3CとFIDO Allianceによれば、WebAuthnはよりシンプルで堅牢な認証プロセスを実現するブラウザおよびプラットフォームの標準だ。ユーザーは、自分の好きなデバイスや生体認証、あるいはFIDOセキュリティキーを使って、自分のオンラインアカウントにログインできる。 WebAuthnはすでに、「
R on Twitter: "Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secur… https://t.co/chhwTivG4y"
Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secur… https://t.co/chhwTivG4y
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
Keepass + KeepasshttpでID/PW以外のフィールドを自動入力する方法 – キャズムを超えろ! Rev.2
めっちゃくちゃ調べたんだけど全然どこにも書いてなくってすげぇ困った話だったのでメモがてら記録に。 世の中1password派ばっかりなんだけどそこは無料でOSSなの使おうぜということでKeepassなんだけど入力が3つあるようなログイン画面にうまく対応する方法。 このように、JapanNetBank等のサイトだと支店番号、口座番号、ログインIDにパスワードと合計4つの入力フィールドが必要だが、普通にKeepassを使っているとID/PWの2つまでしか入力できない。 これを実現するためにやることは3つだけ。そしてどこのHELP見ても載っていなくて海外のフォーラムとか見てもなくてうがーってなっていたのは1番目の項目。2と3はどこにでも書いてあるんだけど1が書かれていなくてそりゃぁ苦労したわ…. Keepass内にあるKeepasshttpの設定(Tools→KeepassHttpOption)
強力なパスワードを作る法則とは? 意外と知らない「パスワード」のハナシ (1/4) - ITmedia NEWS
本連載の第1回で、本人認証に使われる要素は「知識」「所有」「生体」の3種に分けられ、これらは「認証の3要素」と呼ばれると紹介しました。 今回は、知識要素を使用して認証する知識認証の代表格である「パスワード」について、利用する際のTIPS的な内容を、利用者とサービス事業者それぞれの立場から話します。 最も一般的な認証方法「パスワード認証」 知識認証の最も一般的なものは「パスワード認証」です。念のため説明しますと、下記の手順で利用します。 サービス登録時にID(アカウント名)と一緒に、オリジナルの文字列をパスワードとして登録 ↓ ログイン時にIDと一緒にパスワードを入力 ↓ パスワードが登録時のものと合致していればログイン成功 登録時のパスワードを知っているのは自分だけのはずなので、ログイン時に自分であることを証明できるという仕組みです。 知っているのは自分だけなので、基本的に自分が誰かに知ら
Pマークの審査基準で「パスワードの定期的な変更」は廃止へ〜JIPDECが素早い対応〜 : プライバシーマーク・ISMSナビ
プライバシーマーク・ISMSナビ プライバシーザムライが、プライバシーマーク/個人情報保護、ISMS/情報セキュリティの最新情報をお届けします。 (画像はJIPDECのWebサイトより) 皆さんこんにちは。 プライバシーザムライことオプティマ・ソリューションズの中康二です。 先日、「パスワードの定期的な変更」は廃止へ〜情報セキュリティの常識が変わる〜という記事を掲載しました。 米国NISTのガイドライン見直しを受けて、日本のNISCや総務省も正式に方針を転換し、長らく続いてきた「パスワードの定期的変更は必要なのか」という議論に終止符が打たれたという内容でした。 この流れを受けて、プライバシーマークの審査基準にも早速見直しが入りました。 プライバシーマーク制度を運営している一般財団法人日本情報経済社会推進協会(JIPDEC)プライバシーマーク推進センターは、4月10日付で、プライバシーマーク
「大文字小文字が必須です」はパスワードを脆弱にする | スラド
パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるという(Webroot、lifehacker)。 特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」 - まるちゃんの情報セキュリティ気まぐれ日記
【SSS】ガチ勢分析!KeePassのココがすごい
Dropbox Japan、パスワード管理や重要ドキュメントの保管庫といった新機能を提供開始/Plus/Professionalユーザー向け。PCバックアップ機能はBasicユーザーも利用可能
[てっぱんアプリ!] バックアップ機能で機種変がラクに。2段階認証用アプリ「Microsoft Authenticator」![[てっぱんアプリ!] バックアップ機能で機種変がラクに。2段階認証用アプリ「Microsoft Authenticator」](https://cdn-ak-scissors.b.st-hatena.com/image/square/0f1b96084869b906d25d207b86e8865e691c22cd/height=288;version=1;width=512/https%3A%2F%2Fk-tai.watch.impress.co.jp%2Fimg%2Fktw%2Flist%2F1211%2F726%2F000.jpg)
「パスワードは12文字以上でより強固に」、不正ログイン防ぐための設定・管理方法をJPCERT/CCが解説 
Passwords: Using 3 Random Words Is A Really Bad Idea!