多段階認証、多要素認証から不正アクセス対策を考える
利用者本人を特定するために用いられる多要素認証は、ユーザーの利便性を下げる可能性があります。まずは多要素認証の必要条件を知り、利便性と安全性のバランスを取るにはどうすべきかを考えます。 「認証」にまつわる攻撃が増えています。利用者本人を特定するために、IDとパスワードを用いた「パスワード認証」が一般的になる中、それを突破するために全ての英数字の組み合わせを試す「総当たり攻撃」、パスワードに利用されやすい文字列を試す「辞書攻撃」、本人から何かしらの手を使ってIDとパスワードを聞き出す「ソーシャルエンジニアリング」、別のサービスから流出したIDとパスワードを使った「パスワードリスト型攻撃」、偽サイトに誘導してIDとパスワードの入力を求める「フィッシング」といった、さまざまな攻撃による不正アクセスが流行しています。 IDS/IPSやWAFには、これらの攻撃に対する対策機能もありますが、脆弱(ぜい
自堕落な技術者の日記 : Internet Week 2014パネルで話しそびれたネタ: 統計情報でみるSSL/TLS - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 先週のInternet Week 2014でHTTPSサーバー設定の話をさせて頂きました。お越し頂いた方、ありがとうございました。マニアックな内容だったのですが、何か参考になる所があれば嬉しいです。 さて、今日はパネルネタで仕込んでおいたのに陽の目を見なかった話をちょっとブログで書こうと思います。SSL/TLS関連で統計データみたいなものを出しているサイトが幾つかあって、そこから世の中の傾向がわかったり、それを元に自分のサーバーはどう設定するかなぁ、などと考えるのに役に立つのではと思い紹介したいと思います。 SSL Pulse まず最初に紹介したいのがSSL Pulseというサイトです。 出典:SSL Pulse https://www.tr
自堕落な技術者の日記 : Chrome 39安定版のリリースと、有効期限が2017年1月以降のSHA1証明書の警告表示 - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 なかなか確認ができなかったんですが、 Chrome 39安定版が2014年11月18日にリリースされて、 例のChromeのSHA1証明書の表示変更が、 反映されていたのではと、確認しました。 そういえば、大量のHTTPSサイトのリストがあったからそれで調べてみるべぇといろいろ、 探してみたんですがなかなか見つからず、秋山さんから2つほどサイトを紹介頂いて 確認できました。 国内サイトなのでクレームが来たらアレなので、サイト名は今回はご勘弁頂きたいんですが、 早速 Chrome 39 安定版でそのサイトを表示してみると、確かに予告されていた通り、 SSLサーバー証明書の有効期限が2017年1月以降のHTTPSサイトを表示させると、 「secu
「SSLサーバ証明書」SHA-1証明書の受付終了とSHA-2証明書への移行について | さくらインターネット
お客様各位 さくらインターネット株式会社 平素よりさくらインターネットに格別のご愛顧を賜り、誠にありがとうございます。 弊社では、2014年11月19日より、「SHA-1」のSSLサーバ証明書の新規申込受付を終了 し、新たに「SHA-2」の証明書の提供を開始いたします。 「SHA-1」および「SHA-2」は、改ざん検知に用いられる署名アルゴリズムで、よりセ キュリティ強度の高い「SHA-2」への移行が推奨されていました。この度、主なブラウザ ベンダや業界団体による「SHA-1」の証明書の発行終了や「SHA-1」によるSSL通信拒否 などの告知を受け、弊社でも「SHA-2」のSSLサーバ証明書への切替えを実施いたします。 2014年11月19日以前に弊社にて取得された証明書につきましては、SHA-1証明書とな りますので、下記特設サイトをご確認の上、SHA-2証明書への移行をご検討くださいま
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
