「e-Tax」が簡単に ~令和7年1月からはスマホの生体認証で申告書を作成・送信/一度設定を完了させてしまえば、わざわざマイナンバーカードを取り出す必要なし
SPA+Backend構成なWebアプリへのOIDC適用パターン - r-weblife
ritouです。 マシュマロでSPA+BE構成のWebアプリでOAuthやOIDCしたい!って話をよくいただきます。 最近だと、こんな質問がありました。 OIDCから発行されたトークンの取り扱いについて質問させてください。 SPA +OIDC(認可コードフロー)構成によるWEBアプリケーションの開発を考えています。 idPによる認証後、バックエンドとフロントエンドのAPI通信に使うべきはIDトークンとアクセストークンだとどちらになるのでしょうか? 個人的には「ログイン成功した時点でOIDCの処理は終わり、あとかSPA + BEが独自のセッションCookieなりトークンを用いてよろしくやったら良いよ」という設計を適用します。もはや質... 続き→https://t.co/O2KWJrL4Mi#マシュマロを投げ合おう— 👹秋田の猫🐱 (@ritou) 2024年10月20日 SPAだろうが
【朗報】面倒な登録もさらば。パスキーをパスワードマネージャー間で転送できるようになる時代到来へ - すまほん!!
すまほん!! » テック » 【朗報】面倒な登録もさらば。パスキーをパスワードマネージャー間で転送できるようになる時代到来へ Apple、Google、MicrosoftやSamsungなど名だたる大手企業が加盟するFIDO Allianceは、パスワードマネージャー間でのパスキーの転送などに関する仕様を公開したことを発表しました。Phone Arenaが伝えています。 パスキーはパスワードを代替すべき新しい認証方式で、生体認証やデバイスのPINなどの認証を行うことで各種サービスに簡単にログインできるというもの。iOSやAndroidで利用できるサービスや、Microsoft Authenticatorなどのパスワードマネージャーが管理を行っています。 しかし、現状ではアプリ間でパスキーを転送できるような機能は存在しません。これはなかなか面倒くさい問題で、例えば筆者の場合は少なくともWin
最近よく聞く「パスキー」の仕組みと設定方法
「パスキー」って何? Webサイトにログインする際に「パスキー」の設定を推奨されることはないだろうか? よく分からないため、[後で]をクリックして設定をパスしたり、途中まで設定して不安になって止めたりしている人も多いと思う。そこで、「パスキー」とはどういったものなのか、仕組みや設定方法などについて解説する。 Googleアカウントにログインする際、「ログインをシンプルに」という画面が表示され、「パスキー」の利用を推奨されたことはないだろうか(一度、パスワードを忘れて、再設定後にGoogleアカウントにログインする際などに表示されることが多い)。 このパスキーとはどういったものなのだろうか? よく分からないため、[後で]をクリックして設定をパスしたり、途中まで設定して不安になって止めたりしている人も多いのではないだろうか。 本稿では、このパスキーの仕組みや設定方法、運用上の注意点などについて
Windows の OpenSSH で認証できなくなった話 - Qiita
Windows がアップデートされたことで、今まで動いていた構成が急に動かなくなりました。 なぜこうなったのか、どうやって解決したか記録しておきます。 こんな構成にしていた できるだけ Microsoft が提供しているものを使う・それ以外は Pageant だけ、という構成にして運用していました。 +-------------------------------------------------------------+ | Windows | | VSCode | | Remote SSH | | ssh.exe (Windows搭載) --- Pageant | | | .ssh/config --openssh-config オプション | | | pageant.conf <---------+ | +---------|----------------------------
「東方Project」ZUNさん、Xアカウント奪還 攻撃者にメアド変えられ、パスキー認証弾かれ……
ゲームや音楽を中心とした作品群「東方Project」の原作者・ZUNさんが10月8日、何者かに乗っ取られていた自身のXアカウント「@korindo」を取り返したと発表し、その経緯を公式サイトで説明した。 ZUNさんのXアカウントは9月24日までに乗っ取り被害にあっていたが、約2週間ぶりに復帰できたことになる。 ZUNさんによると「乗っ取られた経緯はまだよく分かっていない」が、実際に起きた事象はこうだ。 まず、Xにログインしようとした際、パスキーによる認証を求められたが、3回ほど失敗。「通常と異なるログイン」というメッセージが出てメールアドレスを求められ、ログインできなくなったという。 メールの履歴を確認したところ、ロシア語で「Xのメールアドレスが変更された」というメールが以前、届いていたことが分かった。その直後、Xに偽の投稿があり、乗っ取りにあったことに気づいたという。 つまり、乗っ取り犯
アクセスキーを使ったaws-cliはもうやめよう! - Qiita
はじめに アクセスキー発行するのって非推奨なの? 普段、CLI操作はCloudShellや、Cloud9上で行うようにしているのですが(環境構築 したくない。)、デスクトップ上で操作したい時があります。 そこで、一番簡単な方法であるアクセスキーを発行しようとすると、こんな代替案を提案されます。 この警告にモヤモヤしていたので、今回は「IAM Identity Center」を使ってみた。っていう記事です。 実は、アクセスキーは丸見えだったり。 最近、職場の本番リリース中に気づいたのですが、AWS CLIに保存したアクセスキーや、シークレットアクセスキーは丸見えだったりします。 (↓は既に削除しているキーたちです。) アクセスキーの何がいけないのか? おおむね以下の理由から、非推奨の模様。 永続的な認証情報だから。 キーが流出すると、攻撃者がリソースにアクセスし放題。 キーの管理が面倒。 複
サーバーレスなユーザー認証認可の考慮事項と実践的プラクティス紹介 / slsdays-tokyo-2024
Serverless Web Hosting Strategy For Modern Front-end Application
Auth0ってなんなのさ? - Qiita
はじめに この記事は Auth0の基本概念とメリットを自分用にまとめたものです! (導入方法についてはこちらをご参照ください!) Auth0とは? Auth0は、IDaaS(Identity as a Service)を提供するサーバーレス認証クラウドサービスです。 導入することで自社で認証基盤を簡単に構築できます。 Oktaとの違い Auth0:開発者中心のアプリケーションや小規模企業向け Okta:大規模エンタープライズや複雑なアクセス管理ニーズ向け Auth0の3つの特徴 開発者中心のアプローチ:シンプルで使いやすいAPIとドキュメント 柔軟なカスタマイズ性:SSO、MFA、ソーシャルメディア認証のカスタマイズが可能 スケーラビリティ:大規模アプリケーションにも対応し、成長に合わせて拡張が可能 Auth0の5つのメリット 統合が簡単 SDKとAPIが提供され、多言語対応で豊富なドキュ
マツコの知らない LINE ログインの世界
Ubie プロダクトプラットフォーム所属の nerocrux です。今回は Ubie において、 LINE ログインを成功させるために工夫したことをいくつか紹介したいと思います。 面白いこともすごいこともやってないし、対象読者もよくわかりませんが、興味があったら読んでみてください。 はじめに 症状検索エンジン「ユビー」について Ubie では、症状検索エンジン「ユビー」(以下、ユビーと呼ぶ)という一般ユーザー向けのサービスを展開しています。ユーザーが簡単な質問を回答することで、関連する病名や、適切な受診先情報を得ることができるサービスとなっています。 ユビーは Web ブラウザ経由で利用されることが多いですが、iOS / Android のネイティブアプリも提供しています。 ユーザーがユビーを利用する際に、ユビーのアカウントを作成することで、一貫性のある問診・受診・受診後のフォローアップ体
OAuthの仕組みを説明してHonoで実装してみる
はじめに はじめまして!レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組みをまとめます。また、WebフレームワークとしてHono、JavaScriptランタイムとしてBunを使って、OAuthクライアントを実装してみます。 対象読者 認証と認可の違いってなんだっけ...?という人 Basic認証やDigest認証てなんだっけ...?という人 OAuthはライブラリ使って実装してるから仕組みよくわかっていない...という人 OAuthのクライアントの実装って何をすればいいんだっけ...?という人 認証・認可の基礎 2024/7/18 追記 こちらで
SSH接続を10倍速くするたった3行の設定 - Qiita
今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 詳しい説明 1. ControlMaster auto この設定で、1つのSSH接続で複数のセッションを共有できるようになります。新しくSSH接続を確立するたびに認証情報を入力し直す手間が省けて、接続がぐっと速くなります。具体的には: 初回の接続時のみ認証が必要 2回目以降は既存の接続を再利用するため、認証プロセスをスキップ パスワードやパスフレーズの入力が不要になり、接続がほぼ瞬時に完了 2. ControlPath ~/.ssh/mux-%r@%h:%p Contr
デジタル認証アプリとのID連携で使われている標準化仕様と勘所
ritou です。 みんなが待っていたデジタル認証アプリの情報が公開されました。 開発者向けのガイドライン、APIリファレンスなどのドキュメントも公開されています。 今回は開発者視点でどんな作りになっていて、利用するために理解が必要となる標準化仕様はどのあたりなのかを取り上げます。ちょっとOIDCのRPやOAuthのClient実装経験のある開発者向け、ぐらいの内容です。 概要 公開された情報からすると デジタル認証アプリサービス(アプリ+バックエンド)はマイナンバーカードを用いた当人認証を実施 現在は都度マイナンバーカードを利用する必要がありますが、いずれはスマホに保存されたカード情報を使ってもっと楽になりそう ID連携のIdentityプロバイダとして認証イベント情報、基本4情報といった属性情報を民間/行政サービスに提供 民間/行政サービスは認証イベント情報に含まれるユーザー識別子を利
デジタル庁認証アプリ FIRST IMPRESSION まとめ
昨夜(6月21日)午後11時より、YouTube Live で「デジタル庁認証アプリ FIRST IMPRESSION」と題して配信を行いました。デジタル庁が同日発表したデジタル認証アプリについて、一緒にドキュメントを読んで、その内容や課題などを洗い出していきましょうという企画です。夕方にゆるい感じでアナウンスして、トークデッキの準備も間に合わず見切りで始めたにも関わらず、デジタル庁の幹部の方なども含めて、最大94名の方が同時アクセスしていただきました。ご参加いただいた方々に深く御礼申し上げます。アーカイブは以下から見ることができます。YouTubeに遷移してみること推奨です。チャットに多くの情報がありますので。以下、AI1によるまとめと、それに書き加えた覚えている限りのメモです。そのうち見返して追記するかも知れません。 しかし、こうして見返してみると、署名の話を飛ばしてしまいましたね。こ
デジタル庁、マイナカードの「認証アプリ」公開 オンラインの本人確認にICチップ活用 何が変わる?
デジタル庁は6月21日、オンラインサービスの本人確認にマイナンバーカードのICチップを使えるようにする「デジタル認証アプリ」を発表した。24日に公開する。オンラインでの本人確認は、券面やカードの厚みを撮影して送る方法が一般的だが、手間がかかる上に偽造カードを利用されるリスクもあった。カード内のIC情報を使うことで、より正確な本人確認ができるようになる。 例えば、オンラインで銀行口座の開設や限定商品の販売、マッチングアプリなど本人であることが重要なサービスで、手軽かつ正確な本人確認が実現する。デジタル認証アプリに対応する無料のAPIも公開するので、これを組み込むことで、オンラインサービス側は強固な本人確認の仕組みを低コストで導入できるようになる。 すでに横浜市の子育て応援アプリ「パマトコ」や、三菱UFJ銀行の「スマート口座開設」での導入が予定されている。パマトコであれば、横浜市で子育てしてい
[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO
あしざわです。 現在開催されているAWS re:Inforce 2024 のKeynote にて、AWS IAMのrootユーザーおよびIAMユーザーのMFA(多要素認証)としてPasskeyのサポートが発表されました。 AWS What's newブログ、AWS Blogの両方で発表されています。 概要 本アップデートによって、AWSのrootユーザー、IAMユーザーのMFAデバイスとしてPasskeyが利用できるようになります! AWS側で発行したPasskeyをGoogleアカウントや1passwordなどのクラウドサービスに登録することで、MFA認証としてPasskeyを利用してAWSアカウントにログインできるようになります。 AWS Blogに以下のように記載があるため、初回のリリース時はPasskey+パスワード認証のみでパスワードの利用は必須であるようです。今後のリリースでP
![[速報] IAMのMFA(多要素認証)でPasskeyが利用できるようになりました #AWSreInforce | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/3943ff4d5aff421cb4c2e42ad253a590a12c7bdf/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2024%2F06%2FIMG_3975-2.jpg)
Edgeで簡単ログイン! クラウドサービスのログイン自動化テクニック
Edgeでクラウドサービスへログインするアカウント情報を 自動入力させる/させない方法 Gmailなどのメールサービス、FacebookなどのSNS、LINE WORKSなどのチャットサービス、ChatGPTなどの生成AIなど、プライベートやビジネスで利用するクラウドサービスは増える一方だ。最近はGoogleやFacebookなどのアカウントなどでソーシャルログインできるサービスも増えているが、それでも自分で管理しなければならないアカウント情報はたくさんある。 そこで悩ましいのがパスワードの管理だ。シンプルな文字列にすると不正アクセスされてしまうし、複雑な文字列でも複数サービスで使いまわせばこれも不正アクセスの原因になる。クラウドサービスごとにしっかりとしたパスワードを付ける場合、今度はログインする際にコピー&ペーストの手間がかかる。 Edgeを利用しているなら、パスワードのオートフィル機
総務省 | 安全なパスワードの設定・管理 | 国民のためのサイバーセキュリティサイト
安全なパスワードの設定・管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの設定 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることがで
「認証」を整理する | IIJ Engineers Blog
英語の「Authentication」を整理する ここからは先ほどの分類で言うところの「ユーザ認証」としての「認証」、つまり英語の「Authentication」に該当する「認証」について、さらに整理を進めていきます。 先ほど、「ユーザ認証」を「システムを利用しようとしているユーザを、システムに登録済みのユーザかどうか識別し、ユーザが主張する身元を検証するプロセス」と説明しました。「ユーザの識別」と「身元の検証」はユーザ認証に欠かせませんが、実際は他にも「ユーザの有効/無効状態の確認」や「検証に成功した場合の身元の保証(アクセストークンの発行等)」などの処理も一般的にユーザ認証のプロセスには含まれます。 ここで冒頭の「○○認証」を振り返りましょう。パスワード認証、SMS認証、指紋認証、顔認証は実はここで言うユーザ認証には該当せず、ユーザ認証中の一処理である「身元の検証」を担っていることがお
滅びてほしい認証系の実装の話
こんにちは、富士榮です。 ちょっと前に某所でダメダメな認証系の技術実装ってなんだろうねぇ、、という話をしていたことをXで呟いたところ、色々とご意見を頂けましたのでまとめて書いておきます。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
