必須! セキュリティ用語解説(16) PCログオン認証
「PCログオン認証」とは、ICカードなどを使って、PCや業務アプリケーションのログオン認証を行うソリューションのこと。多くの場合、ICカード化した社員証が利用されている。具体的には、クライアントPCに接続したリーダ/ライタに社員証をかざすと、ログオン認証が行われる仕組みとなっている。また、社員証をリーダ/ライタから外すとスクリーンがロックされ、離席時の覗き見などが防止できる。 従来のログオン認証は、ユーザーがID・パスワードを手入力するケースがほとんどだった。しかしこの運用では、第三者がID・パスワードを悪用して、PCに不正ログオンできてしまう。そこで、改ざんや複製が物理的に難しいICカードを導入し、第三者による「なりすまし」を防止しようというのだ。 管理面でも「PCログオン認証」のメリットは大きい。ICカードと社員証が紐づいているため、「いつ」「誰が」「どの」PCを利用したのか管理しやす
)
Active Directory およびクレームベース認証
公開日: 2017年1月 対象: Dynamics 365 (online)、Dynamics 365 (on-premises)、Dynamics CRM 2016、Dynamics CRM Online クレームベース認証は、ホスト コンピューターに対してユーザーを認証する業界標準のセキュリティ プロトコルです。 クレームベース認証は一連の WS-* 標準で、パッシブ モード (WS-Federation が Microsoft Dynamics 365 (オンラインおよび設置型) Web アプリケーションと共に使用されるとき) またはアクティブ モード (WS-Trust が Windows Communication Foundation (WCF) クライアントと共に使用される場合) のいずれかで、Security Assertion Markup Language (SAML)
NTLM 認証プロトコルとセキュリティサポートプロバイダ
概要 このドキュメントは、NTLM認証プロトコルと関連するセキュリティサポートプロバイダの機能について、実装を行なう際のリファレンスとなるように、上級者向けの詳細を記載したものである。 このドキュメントが NTLM に関する網羅的な記載となっていくことを期待しているが、現在のところ筆者の知識不足と記載不足による抜け洩れがあり、いくつかの誤りも含んだものとなっている。 とはいえ、このドキュメントはさらなる調査を進める上での確実な第一歩を提供していると信じている。 ここに記載している情報は、http://jcifs.samba.org で提供しているオープンソースの jCIFS ライブラリにおける NTLM 認証の実装に用いられている。 このドキュメントは筆者による調査と、Samba における実装の解析に基づいて執筆されている。 目次 NTLMとは NTLM の用語 NTLM メッセージヘッダ
Twitter APIでOAuth認証を利用する方法(Javaの場合) by Inquisitor
追記:自分がつぶやければいいだけなら、Twitter4Jでつぶやく練習で紹介している方法が簡単です。 API Version 1.1に対応しました。 辻村浩『 Twitter API プログラミング』(ワークスコーポレーション, 2010)を読みました。形式について言うと、ソースコードが頻繁に折り返していて読みにくい(というかほとんど読めない)のがちょっと残念でした。内容について言うと、OAuth認証を利用する方法をもう少し具体的に書いた方がいいんじゃないかと思いました。OAuth認証は最初の関門なので、すべてのメジャーなプログラミング言語について、具体的な実装を載せておいてくれるととても便利だったはずです。 というわけで、OAuth認証を利用するクライアントの作り方を書いておきましょう。 まず、http://dev.twitter.com/appsでアプリケーションを登録し、Concum
第17回 ASP.NETにおける認証と認定
認証(Authentication) 会員専用ページや、サイトの構成を行うための管理者向けページのように、あるページを何か特別な権利を持ったユーザーにだけ公開するには、ユーザーがアクセス権を所有するユーザー本人であるか、確認するプロセスが必要となる。このプロセスが認証(Authentication)である。認証の方法はさまざまだが、ご存じのとおりユーザー名とパスワードのペアを用いて行われるのが一般的だ。 認証を必要とするアプリケーションを構築するには、ユーザーの資格情報を管理する仕組みと、未認証のユーザーに認証を求める仕組み、それに認証済みのIDを検証する仕組みが必要になる。これらをすべて独自に実装するのは骨の折れる仕事だが、ASP.NETではいずれについてもフレームワークからの支援が受けられるので、場合によっては、ほとんどコードを書かずに認証プロセスを実現することが可能だ。もしフレームワ
インサイド .NET Framework [改訂版]第10回 ロールベース・セキュリティ(1/4) - @IT
前回まで4回をかけて、コード・アクセス・セキュリティを解説した。コード・アクセス・セキュリティは、.NET Frameworkが世の開発者と管理者に問う、プログラムに対するセキュリティの新しい形であることはご理解いただけたと思う。ただし、だからといってユーザーごとにアクセス制御を行い、操作を制限するセキュリティ機構が無意味になるわけではない。実際に、.NET Frameworkにもユーザーごとにセキュリティを制御する仕組みは存在する。今回はその仕組み、ロールベース・セキュリティを紹介する。 なお、.NET FrameworkはWindows 98とWindows Me上でも動作するが、これらのOSにはWindows NT系列で使われているユーザー認証機構が搭載されていないため、今回の解説内容は基本的に適用できない。 ユーザーベースかロールベースか ところで、ユーザーに対してセキュリティを構
認証方式とディレクトリサービス
htpasswdやsmbpasswdからネットワーク上のユーザーまでを前回紹介したNISで一括管理することは不可能です。なぜならアプリケーションのユーザー認証はアプリケーションに委ねられているからです。それらのユーザー情報を共有管理するにはアプリケーションに対応した認証方式を採用しなければなりません。多くのアプリケーションはその認証方式にNISはあまり採用せずに、ネットワーク認証も可能にしたKerberosやLDAP、小規模システムではPAM認証を採用しています。ここではそのLDAPをはじめ、各認証方式について説明していきます。 ・ディレクトリサービス ・LDAPの基本設定 ・ローカルユーザーのLDAP認証 ・ネットワークユーザーのLDAP認証 ・LDAPユーザーの管理 ・戻る <LDAPの構造> LDAPはクライアント/サーバーシステムとなっています。サーバーにディレクトリ構
Twitterのハッカーとのコンタクトに成功―攻撃手口の詳細が判明した
The tech layoff wave is still going strong in 2024. Following significant workforce reductions in 2022 and 2023, this year has already seen 60,000 job cuts across 254 companies, according to independent layoffs tracker Layoffs.fyi. Companies like Tesla, Amazon, Google, TikTok, Snap and Microsoft have conducted sizable layoffs in the…
Lenovo、Asus、東芝のノートPC顔認証テクノロジー、突破される | スラド セキュリティ
本家/.より。ベトナムの研究チームが、一部のノートPCに搭載されている顔認証テクノロジーを突破することに成功したそうだ。研究者らは、顔認証ログイン機能を搭載したノートPCのカメラに認証されたユーザーの写真を提示。Lenovoの「VeriFace III」、ASUSの「SmartLogon V1.0.0005」、東芝の「Face Recognition 2.0.2.32」、すべての突破に成功したとのこと。また、ユーザーの写真を使わずに、偽造した顔画像でも突破可能だったという。どちらもパスワードでいうところの「総あたり攻撃」を行ったそうだが、デジタル加工した写真でも認証が可能な点が一番の脆弱性であると指摘している。 なお、この結果は、現在米ワシントンDCで行われているBlack Hat DCにて発表されるそうだ。たばこ自販機の顔認証も、当初、雑誌の写真で突破されていた。ノートPCも生体認証を組
静脈認証も安心できない? 大根で作った偽造指で認証に成功 : IT Pro ニュース
「静脈認証でさえ、偽造指に対するぜい弱性は否定できない」--。6月29日から7月1日まで東京で開催された「情報セキュリティEXPO」で、セミナーの演壇に立った横浜国立大学の松本勉教授はこう警告した。偽造/盗難キャッシュカード対策として金融業界で急速に普及しつつある静脈認証について、客観的なぜい弱性評価の必要性を示したものだ。 静脈認証は指、手のひら、手の甲などに赤外線を当て、体内にある血管の形状パターンを元に個人を識別する。指紋認証などと異なり、表から見える身体的特徴を使わないことから、「なりすまし」に強いと一般に思われている。だが実は、静脈認証の歴史は浅く、ぜい弱性が十分に検証されてきたとは言えない。 松本教授は比較的簡単に入手できる素材を選んで、人の指に似た光の透過率を持つ2種類の模型を作成した。その一つは、野菜の大根を棒状に切りラップで包んだもの(写真)。もう一つは、スキー場の人工雪
マイクロソフトライセンス認証(Microsoft Product Activation)
マイクロソフトライセンス認証(Microsoft Product Activation):Windows Q&A(1/3 ページ) Windows OSやOfficeに代表されるマイクロソフトのソフトウェア製品に導入されている「ライセンス認証(プロダクトアクティベーション)」。その仕組みは? どんなことに注意すべきか? Q:マイクロソフトライセンス認証とは? A:ソフトウェアの不正コピーを防止するために、マイクロソフトが開発した仕組み。英語名はMicrosoft Product Activationで、MPAと略記されたり、米国の一部のメディアでは、Windows Product Activationを略してWPAと呼んでいるものもあるようだ。日本語では「マイクロソフトライセンス認証」とか「マイクロソフトプロダクトアクティベーション」と表記される。ライセンス認証が初めて採用されたOffic
Windowsのパスワードをわずか数分で解析する「Ophcrack」の使い方 - GIGAZINE
Windowsの各種ユーザーアカウントのパスワードを解析して表示することができるオープンソースソフト「Ophcrack」を使ってみました。Windows Vistaにも対応しており、総当たりで解析するのではないため、非常に素早く解析できるのが特徴。数分程度の時間で解析できてしまいます。今回の実験ではジャスト3分でAdministratorのパスワードが表示されてしまいました、ショック。 通常はISOイメージをCDに焼いてCDブートで起動するのですが、今回はUSBメモリから起動してみました。実際に起動してから終了するまでの様子のムービーもあります。 というわけで使い方などの解説は以下から。 ※あくまでも自分のパスワードの弱さをチェックするためのソフトなので、使用する際には自己責任でお願いします Ophcrack http://ophcrack.sourceforge.net/ ダウンロードは
Rg00dP@55Wrd53z―奥深きパスワードの世界
次のような話を耳にしたことはないだろうか。堅牢で覚えやすい,完璧無欠のパスワードを作り上げたとしよう。ついには,指先を駆使して高速入力する術もマスターした。それにもかかわらず,サービスの案内画面でパスワード・ポリシーに従うよう指示された。そこで新しいパスワードを考え出し,さらに2倍にして32を加え,母親の旧姓から文字を拝借した。ところが,さらに記号を最低でも2文字含めるよう要求された。このパスワード・ポリシーだと,せっかく編み出したパスワード作成方法が台無しになってしまう。 パスワードの作成は,セキュリティと使いやすさの絶え間ないせめぎ合いだ。両者の隙間を埋めるパスワードは手に入りにくい。一方,定期的にパスワードを変更すれば強度が高まり,さまざまな攻撃の成功率がかなり低くなる。しかし,非常に複雑なパスワードを作ってしまうと忘れてしまうリスクもあり,ここがセキュリティの悩ましいところだ。 つ
人の造りしもの――“パスワード”の破られ方と守り方
パスワードを破るのも人ならば、それを守るのも人。今回はあなたのパスワードを守るために、「今すぐできること」を解説します。 ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 第8回「魂、奪われた後――弱いパスワードの罪と罰」では、攻撃者がシステムへ侵入した後、どのようなことを行うのかをペネ
パスワードの強度診断:「弱」から「最強」の4段階で評価
パソコンやインターネットを利用する上で欠かせないのがパスワード。重要なサービスで使用しているパスワードについては、破られる恐れがないのか気になるところだ。マイクロソフトの「パスワードチェッカー」で、その強度(破られにくさ)を調べてみよう(図5-1)。 図5-1●破られにくさを即座に判定 パスワードの強度を評価する「パスワードチェッカー」のWebサイト。使われている文字の種類や長さから強度を判定する。「弱」や「中」の場合には、マイクロソフトの情報などを参考にして、「強」以上になるようにしたい。 [画像のクリックで拡大表示] このサイトでは、入力した文字列の文字数と使われている文字の種類から、パスワードとして利用した場合の強度を判定する。例えば、文字数が7文字以下の場合には、どのような文字列でも、強度は「弱」。 また、文字の種類が1種類(例えば、アルファベットの小文字のみ)の場合には、文字数を
OpenIDをとりまくセキュリティ上の脅威とその対策 - @IT
前回はConsumerサイトを実際に作る際のプログラミングに関してお話ししましたが、今回はOpenIDに関するセキュリティについて考えてみます。 今回取り上げるトピックとしては、 などを段階的に説明していきます。IdPの構築方法を知る前にOpenIDプロトコルのセキュリティに関して熟知しておきましょう。 OpenIDプロトコルにおける通信経路のセキュリティ ここまで詳細に解説してきませんでしたがOpenID認証プロトコルのフェイズにおいて、どのようにセキュリティ上の安全性を担保しているかを解説しましょう。 まずはassociateモードを正常に実行するSmartモードの場合です。 ConsumerはユーザーからのClaimed Identifierを受け取ると、associateのキャッシュが存在しない場合は新規にIdPに対してassociateモードのリクエストを行います。第3回で「as
koress.jp: OpenIDの襲来に備えよ!
追記: OpenID対応サービスまとめを作りました。 たぶん、2008年のインターネット(Webサービス)業界はOpenIDによるWebサービスのID体系の統一の荒波に揉まれることになると思う。日本のサービスプロバイダは、OpenIDの襲来に備えるべき。 海の向こうではすでにDigg, Wikipedia, Yahoo, Microsoftなどが導入や支持を発表しているほか、多くの小さなネットサービスはOpenIDに頼ったアーリーアダプタの取り込みに積極的になってる。日本国内ではどうかと言えば、niftyのaboutmeなどを除いて大手のWebサービスは未だ様子を見ている状態。リサーチレベルでは重要性が把握されつつある一方、経営レベルでは「なにそれ」的な状態が多そう。いかん、いかんよ。 2008年、YahooかAmazonかGoogleかわからないけれど、ほぼ間違いなくどこかの日本の大手の
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【金曜Black★ピット】IEEE漏洩パスワード2位「ieee2012」、1位は | エンタープライズ | マイナビニュース