パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか? LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。 Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK — LastPass (@LastPass) June 6, 2022 We’ve joined
1Password now includes full support for SSH keys, providing the easiest and most secure way for developers to manage SSH keys and use Git in their daily workflow. The magic of 1Password has always been making the secure thing to do the easy thing to do. Today I’m thrilled to announce that we’re bringing this magic to development teams everywhere with the all-new 1Password SSH Agent. 🦄 In today’s
by Erica Fischer 街角を歩くと、チャイムや音声で目が不自由な人に横断歩道の信号が青になったことを案内する音響信号機の音を耳にします。アメリカにある横断歩道の音響装置が、安全に横断歩道を渡れることを知らせる代わりに、パスワードの変更を訴えている様子が捉えられました。 The walk signs in Crystal City, VA are just repeating “Change Password” | Hacker News https://news.ycombinator.com/item?id=30675727 アメリカの首都・ワシントンD.C.を拠点とするエコノミストのジョーイ・ポリターノ氏が2022年3月14日に、Twitterに「バージニア州クリスタルシティの歩行者用標識は、道路を渡っても安全なタイミングを教えてくれる代わりに、『パスワードを変更してくださ
HomeNewsSecurityPopular NPM library hijacked to install password-stealers, miners Hackers hijacked the popular UA-Parser-JS NPM library, with millions of downloads a week, to infect Linux and Windows devices with cryptominers and password-stealing trojans in a supply-chain attack. The UA-Parser-JS library is used to parse a browser's user agent to identify a visitor's browser, engine, OS, CPU, and
昨日、上野宣(@sen_u)さんがパスワードの総当りに要する時間の表をツイートされ、話題になっています。 総当たり攻撃時のパスワード最大解読時間の表を日本語化した。https://t.co/cVSNUZkAKv pic.twitter.com/rtS8ixwOqi — Sen UENO (@sen_u) August 17, 2021 1万件を超えるリツイートがありますね。大変よく読まれているようです。しかし、この表は何を計測したものでしょうか。上野さんにうかがってもわからないようでした。 何ですかね?パスワード空間が大きくなると解読に時間が掛かるということくらいがわかりますかね。 — Sen UENO (@sen_u) August 17, 2021 一般に、パスワードの総当たり攻撃(ブルートフォースアタック)というと、以下の二通りが考えられます。 ウェブサイト等でパスワードを順番に試す
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
コーポレートエンジニアリング部ITサービスチームの高橋です。コーポレートエンジニアリング部ではスタッフや組織の課題をテクノロジーの力で解決するということをビジョンに掲げています。その中でも私が所属するITサービスチームでは、ZOZOグループ全体の生産性を上げるため、部門や組織の課題をテクノロジーの力で解決に導く役割を担っています。クラウドベースのツールを活用し「攻めの戦略」を重視し、社内の活性化を目指しています。 その一環として、パスワード管理ツール1Passwordを全社導入しました。導入に至った背景、製品選定で重視した点、及び実際の運用を紹介します。なお、弊社の環境は社員の大半がエンジニアで、社員数は400人規模です。 いきなり余談ですが、先日政府がPPAP(パスワード付きzipファイルをメール添付し別途パスワードを送信する意)を廃止する方針であると表明しました。2017年にはパスワー
警察庁は2020年11月27日、庁内の端末が1年以上前から不正アクセスを受けていたことを発表しました。また同時期に公開された脆弱なVPN機器リストについても併せてここでまとめます。 VPNのパスワードが漏れた可能性 不正アクセスが確認されたのは警察庁情報通信局のノートPC1台。業務物品の手配を行う専用端末として利用されていたもの。 ノートPCは他のシステムとは接続されておらず、警察庁は情報流出の可能性は低いと判断。不正アクセスが行われたタイミングでは端末に情報保管を行っていなかった。 複数のIPアドレスから2019年8月から2020年11月中旬まで合計46回の不正アクセスが行われていた。*1 ノートPCからインターネット接続を行う際にVPN機器を利用。このVPNのパスワードが第三者に利用された可能性がある。*2 警視庁からの情報提供を受け発覚 2020年11月25日に警視庁から「不正アクセ
ACTIVE GALACTIC @active_galactic 悪巧みをする人間は賢いな.確かに口座番号・暗証番号・氏名の組み合わせは工夫すれば手に入ってしまう.口座番号を入力すると振込先の宛名を表示してくれるサービスはあるし,語呂合わせのような使っている人が多い暗証番号で口座番号を片っ端から試していくと,一定確率で貫通するだろう.>RT 2020-09-09 20:45:35 ACTIVE GALACTIC @active_galactic リバースブルートフォースアタック:物理学科のロッカーで暗証番号を137決め打ちで片っ端から試して,貫通したロッカーから貴重品を盗む泥棒を想像した.数学科なら1729とかだろうか. 2020-09-09 20:49:28
Help users change passwords easily by adding a well-known URL for changing passwords Stay organized with collections Save and categorize content based on your preferences. Set a redirect from /.well-known/change-password to the change password page of your website. This will enable password managers to navigate your users directly to that page. Introduction As you may know, passwords are not the b
2020年7月16日(日本時間)、Twitter上で複数の著名なアカウントや有名企業のアカウントからビットコイン詐欺の投稿が行われました。Twitterはその後の調査で、社内サポートチームが使用する管理ツールが不正利用されたことが原因と発表しました。ここでは関連する情報をまとめます。 何が起きたの? 2020年7月16日未明から著名アカウントを中心に詐欺投稿が行われた。その後アカウント侵害の影響は大部分が回復した。 一連の投稿にはTwitter社内のサポートチームが使用する管理ツールが悪用された。さらに複数のアカウントでDM閲覧やデータのダウンロードが行われた恐れがある。 社内ツールはソーシャルエンジニアリングにより不正利用された。Slackがその舞台となったと報じられている。 1. アカウントのっとり詐欺投稿 4時間続く 7月16日に発生したビットコイン詐欺の投稿は大まかに2種類が確認さ
図1: 脆弱なパスワードを入力した場合のエラー画面 こんにちは、pixiv開発支援チームのmipsparcです。 パスワード、もしかして使いまわしていますか? 複数のサービスで同じパスワードを利用していると、「パスワードリスト型攻撃」によって不正アクセスの被害を受けてしまうかもしれません。 パスワードリスト型攻撃の被害にあわないためには、ブラウザやパスワード管理ツールで自動生成された安全なパスワードを利用するのが好ましいです。 しかし、実際には多くの人が「使いまわしたパスワード」や「簡単なパスワード」(以下、脆弱なパスワード)を利用していますし、啓蒙活動にも限界があります。 pixivではサイバー攻撃への対策を複数とっていますが、根本的な対策のひとつとして、脆弱なパスワードを新しく設定できないようにしました。 脆弱なパスワードの判定方法 脆弱なパスワードの利用はどのように防ぐことができるで
by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
「bitwarden」はオープンソースで開発されているパスワードマネージャーで、クラウドを利用して複数のデバイス間でアカウント情報を自動で同期してくれるというところまで無料で使用できるアプリです。さっそく使い勝手を試してみました。 Free Open Source Password Manager | bitwarden https://bitwarden.com/ 公式サイトにアクセスし、「Install Now」をクリックします。 「bitwarden」はさまざまなブラウザへの拡張機能としてインストールします。まずはGoogle Chrome版を使用してみるので「Google Chrome」をクリック。 拡張機能のインストールページに移動するので右上の「CHROMEに追加」をクリックします。 確認画面が出てくるので「拡張機能を追加」をクリック。 インストール完了です。 アドレスバーの隣
パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。 JPCERT/CCは2018年8月1日から31日まで「STOP!パスワード使い回し!キャンペーン」を実施している。パスワードの使い回しを控えるように呼び掛ける活動で、2014年から毎年実施している。2018年はヤフーや楽天、セブン銀行など26の賛同企業/団体とともにユーザーに呼びかけている。キャンペーンでは、破られにくいパスワードの作り方と管理方法をユーザー向けに紹介している。この内容が2017年までと比べて大きく変化した。 2017年までは「大小
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く