ランサムウェア攻撃者が利用する脆弱性リストメモ
■概要 2021年09月12日、Recorded FutureのCSIRTメンバーであるAllan Liska氏がTwitter上で呼びかけを行いました。 その呼びかけはランサムウェアの攻撃者が初期アクセスを獲得するために使用する脆弱性のリストを作成しようとしているというもので、いくつかのベンダーや製品名とともにCVE番号が列挙されたリストの画像が添付されており、このリストに掲載されていないものがあるかというものでした。これに対して、様々なレスポンスがあり、リストは拡充(初期アクセス獲得に利用される脆弱性以外も含む)され、セキュリティ研究者である、Pancak3氏が以下のような図を作成しました。 これらの流れを見ていて、非常によい取り組みだと思い、私も微力ながら貢献したいと考えました。 pancak3氏が作成された図だけでは、個別の脆弱性情報へのアクセスや影響を受けるバージョンを知ることが
- Kubernetes Meetup Tokyo #30 ( https://k8sjp.connpass.com/event/171599/ ) で発表した資料です。 * スライド上のリンクはPDFをダウンロードしたらクリック可能です - メルカリではMicroservices化を進めており、各サービスのコンテナをKubernetesクラスタにのせて運用しています。本セッションでは、大規模なKubernetesクラスタを運用するにあたって、セキュリティの観点から、どのような考え方で運用する 必要があると考えているか、セキュリティ戦略を説明します。 【登壇時ビデオ】 https://www.youtube.com/watch?v=5rW0T63A_P8&t=5370 【スライド内主要リンク】 ■攻撃シナリオ チュートリアル https://github.com/rung/tutorial
Sen Ueno on Twitter: "総当たり攻撃時のパスワード最大解読時間の表を日本語化した。 https://t.co/cVSNUZkAKv https://t.co/rtS8ixwOqi"
総当たり攻撃時のパスワード最大解読時間の表を日本語化した。 https://t.co/cVSNUZkAKv https://t.co/rtS8ixwOqi
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。しかし、使い方を誤るとYubiKeyなどのハードウェア認証デバイスが使い物にならなくなってしまうとして、RustのWebAuthnライブラリを作成しているウィリアム・ブラウンさんが注意を促しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/ パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。クライアント側に鍵を保存しない場合、あらかじめ認証に利用する鍵を生
GitHubにAPIのキーが書かれたファイルを上げてしまったので、対処の流れを書き残しておきます。 BFGを使用する方法とfilter-branchを使用する方法があるのですが、今回は後者をやってみました。 注意 外部にキーやパスワードなどを公開してしまった事に気づいたら、まずは対象のサービスを停止させて再発行を行ってください。その後、履歴を確認し悪用された形跡が残っていないか確認してから以下の手続きを行ってください。 対処するときプルリクがあるかどうかを確認して、ある場合にはすべてマージもしくはクローズしてから行うのを推奨しています。 自分のケースでは幸い1件もなかったので、そのまま行っています。 手順 1. ローカルにリポジトリをクローンする
MS365のMFAが効かない基本認証。基本認証を無効化していないMS365が狙われている。(大元隆志) - エキスパート - Yahoo!ニュース
MS365でMFAの効かないIMAP等がパスワードスプレー攻撃で狙われている(写真:Panther Media/アフロイメージマート) 三菱電機が契約しているMS365に不正アクセスが発生した。このニュースを見て「我社のMS365はMFA(多要素認証)を利用しているから大丈夫」と思った人も少なくないだろう。しかしMS365に対する不正アクセスの多くはMFAをバイパスするIMAP等が狙われている。 ■基本認証と先進認証 MS365には大きく分けて二種類の認証方式が存在し、先進認証と基本認証と呼ばれている。主にMS365にアクセスするクライアントによって使い分けられる。 ・先進認証 IE/Chrome/Safariなどのウェブブラウザから、MS365にアクセスする場合や、先進認証対応のMS365アプリからアクセスする場合に利用される認証方法。MFA等が利用出来る。 ・基本認証(レガシー認証)
パスキーのユーザー ジャーニー | Authentication | Google for Developers
KAYAK がパスキーでログイン時間を 50% 短縮し、セキュリティを強化した方法 Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 Dashlane でパスキーによるログインのコンバージョン率が 70% 上昇 メルカリのパスキー認証でログインが 3.9 倍高速化 Google アカウントのパスキーのユーザー エクスペリエンスを設計する パスキーとパスワードの比較で、これまでにない認証速度を実現 「Google でログイン」の SDK Android 用認証情報マネージャー ウェブで Google でログイン(ワンタップを含む) iOS と macOS 用の Google ログイン 業界基準 パスキー OpenID Connect 以前のログイン Android でのワンタップ登録/ログイン Android 向け Google ログイン ウェブ向け
ある「パソコンの大先生」の死
ある「パソコンの大先生」の死 2022.07.28 Updated by yomoyomo on July 28, 2022, 20:35 pm JST 「これはなんだね?」 「南京錠です」と彼女は答えた。 「なんだって!」彼は激昂してそう叫ぶと、分かりきったことを訊ねた。「で、鍵はどこにあるんだ?」 (ガブリエル・ガルシア=マルケス「愛の彼方の変わることなき死」) 6月のはじめに公開された前回から時間が空いてしまいました。前回の文章のテーマはWeb3でしたが、少し前にはそのWeb3を書名に掲げる書籍の内容が酷いと話題になり、ついには回収という事態となってしまいました。 が、今回のワタシの文章は、Web3やらメタバースやら、いまどきな話題とまったく関係のない、もっとスケールの小さい、個人的な、早い話がとてもしょぼい話題になります。一種の恥さらしとすら言って良いでしょう。 話は今月半ば、自室
iOS 16の新機能「パスキー」はこんなふうに使います
iOS 16の新機能「パスキー」はこんなふうに使います2022.11.09 14:00111,554 David Nield - Gizmodo US [原文] ( mayumine ) 人類はパスワードから解放されるべき。 だってパスワードなんてものは忘れるし、ハックされて不正利用されるリスクもあるし、デジタル世界からパスワードの運用はなくなってほしい…!というわけで、各社の生体認証が進化しているわけで。 ニセ銀行サイトに指紋を入力することはできませんし、ダークウェブで自分の顔情報がダウンロードできるようになることはないはずで、ハッキングのリスクもかなり下がるはずですから。 パスワードレス化にはいくつかのアプローチがありますが、最新のiOS 16およびiOS 16.1アップデートで「パスキー」という技術が実装されました。パスキーは鍵ペアで構成され、一方の鍵は公開鍵としてログインするアプリ
【注意喚起】スポーツイベントに便乗した情報窃取事案 | NTT Communications Developer Portal
技術開発部セキュリティユニットの小林です。 開催中の大規模スポーツイベントに便乗したサイバー犯罪が報告されています。12 端的に言えば「無料で試合をインターネット中継します」という触れ込みで、メールアドレスやパスワード、クレジットカード番号の窃取を試みるものです。この記事では、同じ手法の攻撃を観測したこと、またその他のスポーツイベントに対しても同様の手口による攻撃を観測したことから、スクリーンショットを交えて報告します。 観測した事象 (以下で提示する画像は、都合により一部マスクしているところがあります) 2019/11/08追記: 事態を確認した時点で関係機関に連絡しており、下記の踏み台にされているページはすでに削除されています。 Googleで「フランス トンガ live」をキーワードに検索した結果がこちらです(シークレットモードを利用しています)。 トップニュース下の、検索結果の第1
任天堂は2023年10月、人気ゲーム機「Nintendo Switch」などで利用するニンテンドーアカウントをパスワードレス認証の「パスキー(パスキー認証)」に対応させた。「FIDO2(Fast Identity Online 2、ファイド2)」という仕様に基づいた、パスワードを使わない認証方法だ。 従来ニンテンドーアカウントにログインするには、利用者がユーザーIDとパスワードを入力して本人認証していた。パスキーを利用すると生体認証を用いるので、パスワード入力は不要になる。だが「生体認証=パスキー」ではないので注意してほしい。詳しくは後述する。 パスキーならユーザーIDとパスワードの入力や管理がなくなり、利用者にとって利便性が高まる。サービス提供者としては、利用者のパスワード忘れなどへの対応が不要になる。 このためログインやサインインの手段としてパスキーを採用するサービスが相次いでいる。N
パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など
パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など 一般にWebサービスなどへのログインには、ユーザー名とパスワードの組み合わせが使われます。しかしこのパスワードの情報などが漏洩することで、企業や個人に大きな損失を与える事故が繰り返されてきました。 そこで、ユーザー名とパスワードの組み合わせの代わりにスマートフォンなどのデバイス内に保存したクレデンシャルを用いてユーザー認証を行い、パスワードの入力を不要にする技術が登場しています。 業界標準となっているのが、FIDOアライアンスによる「FIDO2」と、それをW3CのWeb標準として策定した「Web Authentication」(WebAuthn)です(以下、FIDO/WebAuthn)。 ユーザーはスマートフォンなどのデバイスに対
パスワードの安全な管理は頭の痛い問題ですよね。そもそも今時であれば、パスワードレス認証に移行すべきではあるのでしょう。ですが世の中のサービスすべてが、すぐにパスワードレス認証に対応してくれるわけでもありません。まだまだしばらく人類とパスワードの戦いは続きそうです。 パスワードを少しでも安全に使うためには、「十分に複雑で長い文字列を使う」「使い回しを避ける」といった対策が必須です。しかし十分な強度のパスワードを、サービスの数だけ暗記するのは、人間の頭脳では困難です。 図1 パスワードの暗記を諦めた人類は、こうしたアイテムに手を出しがちである そこで登場するのが「パスワードマネージャー」です。筆者は以前より、第508回でも紹介したpassword-storeを愛用していました。これはGPGで暗号化したテキストファイルをGitで管理するための、シェルスクリプトで実装されたパスワードマネージャ
2020年4月27日にFinacial Timesの記者が他社のオンライン会議を盗み聞きしていたと報じられました。ここでは関連する情報をまとめます。 他社会議の内容をツイート Indipendent社が2020年4月27日、非公開で行われていた23日の社内会議にFinancial Timesの記者が無許可で潜入していたと報じた。 www.independent.co.uk 社内会議はIndipendent社幹部が従業員に対し給与削減や一時解雇について伝えるものだった。 無許可での参加が指摘されたFT社の記者はDi Stefano氏。今年1月からFinancial Times社に所属。 会議の最中にFT記者はTwitterへその様子を伝えたり、その後FTのWebサイトでもこの件を広告減少が要因だったとして取り上げた。FTはこの記事を報じる際、「電話取材」をソースとしていたという。 NEW:
書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典 | DevelopersIO
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。 パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの? もっとセキュアになったの? サイトによってUXが違うんだけど? このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。 著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito
AI & MLLearn about artificial intelligence and machine learning across the GitHub ecosystem and the wider industry. Generative AILearn how to build with generative AI. GitHub CopilotChange how you work with GitHub Copilot. LLMsEverything developers need to know about LLMs. Machine learningMachine learning tips, tricks, and best practices. How AI code generation worksExplore the capabilities and be
はじめに KubernetesではWebアプリケーションから業務用のワークフロー(バッチ処理とか)に至るまで様々なアプリケーションを動かすことができるが、現実世界において苦労するポイントの1つは、ワークロードに秘匿情報を渡すための方法である。 例えば、アプリケーションの上でデータベースに接続するために必要なエンドポイントの情報やパスワードなどの認証情報は、アプリケーションのソースコードに直接書くことはご法度だし、コンテナ化する際に内包することも原則タブーである。また環境変数として注入する場合でも、その情報が物理ディスクに残ってしまう場合などを考え最新の注意を払う必要がある。 ここではKubernetes上のワークロードに秘匿情報をできるだけ安全にわたすための方法を運用者・開発者の目線で考える。 Kubernetesが持つ外部情報注入の仕組み Kubernetesの場合、アプリケーションに情
ハッキングフォーラムへ投稿された多数のVPNサーバーの認証情報についてまとめてみた - piyolog
2020年8月4日、ZDnetはハッキングフォーラム上で900を超える脆弱なVPNサーバーから取得した認証情報が公開されたと報じました。ここでは関連する情報をまとめます。 www.zdnet.com 何が起きたの 900件以上のVPNサーバー(Pulse Connect Secure)のパスワードを含む情報がハッキングフォーラムで公開された。その1割が日本国内のIPアドレス。 ファイル生成日より2020年6月末から7月にかけデータ窃取の不正アクセスが行われた可能性がある。 影響を受けたサーバーの場合、ファームウェア更新だけでなく、パスワード変更やセッション破棄を即行う必要がある。 1年以上前に修正された脆弱性悪用か データ窃取のために悪用された脆弱性は2019年4月に修正されたPulse Connect Secureの脆弱性CVE-2019-11510とみられる。 Bad Packetsの
Appleデバイスで機密データの暗号化に使用される「Secure Enclave(SEP)」にパッチ不可能な脆弱性が存在すると、中国人ハッカーグループ「Pangu」に所属するwindknown氏がMOSEC 2020にて発表しました。この脆弱性に関する情報をまとめた資料がGitHubで公開されており、仮想メモリ空間の暗号化キーの抜き出しといった脆弱性の詳細を知ることができます。 presentations/Attack_Secure_Boot_of_SEP.pdf at master · windknown/presentations · GitHub https://github.com/windknown/presentations/blob/master/Attack_Secure_Boot_of_SEP.pdf ほぼすべてのApple端末に組み込まれている「Secure Encla
脆弱性診断、動的アプリケーションセキュリティテスト(DAST / Dynamic Application Security Testing)多くの方が脆弱性を検出する方法として利用されているかと思います。 脆弱性診断では、Webアプリケーションに脅威となる擬似攻撃の実施、既知の脆弱性を行い、攻撃・悪用できる脆弱性、情報漏洩に繋がる恐れのある問題点(ロジック)を見つけることができます。 メリット 緊急度の高い脆弱性を洗い出せる (診断サービスなどを利用すれば)セキュリティの知見がなくてもテスト可能 網羅的 デメリット 診断自体に時間がかかる 問題箇所を特定しなければならず、修正が難しい場合がある アプリケーションが動いていなければならず、脆弱性の作り込みから修正までの時間が長い ソフトウェアコンポジション解析(SCA / Software Composition Analysis)近年OSS
米Googleは10月10日(現地時間)、パスワード不要のサインイン機能「パスキー(passkey)」を、Googleアカウントのデフォルト(初期設定)オプションに設定すると発表した。アカウントにサインインしようとすると、パスキーの作成を求めるプロンプトが表示されるようになる。 パスキーはパスワードより安全ではあるが、「新技術が普及するには時間がかかることが分かっているため」、ユーザーにはパスワードを引き続き使い続けるオプションも提供する。設定画面で「可能な場合はパスワードをスキップする」をオフにすれば、パスキーをオプトアウトできる。 パスキーは、Googleが昨年5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省
リトアニアのセキュリティ企業であるNord Securityは11月15日(日本時間)、2022年に最も使われたパスワードのランキングを発表した。米国やオーストラリアなど世界30カ国の1位は「password」(使用回数約500万回)。日本の1位は「123456」(同1210回)だった。 日本のランキングは2位が「password」(926回)、3位が「1234」(921回)、4位が「12345678」(562回)、5位が「akubisa2020」(438回)、6位が「xxxxxx」(406回)、7位が「sakura」(355回)、8位が「303030」(295回)、9位が「12345」(270回)、10位が「123456789」(247回)だった。 上位には「Garba3060」(14位、193回)、「ilove12345@」(19位、143回)、「diskunion」(20位、140回
Googleは米国時間10月2日、Googleアカウントの新機能「Password Checkup(パスワードチェックアップ)」の提供を開始した。同サービスは、ユーザーが保存しているパスワードについて、他のサービスが侵入を受けたことによる流出や不正アクセスがなかったかどうかをチェックしてくれる。 Password Checkupは、今のところGoogleのウェブダッシュボードおよび「Android」デバイスで利用できるが、2019年内に「Chrome」ブラウザーにも直接組み込まれる。 ウェブでは、「passwords.google.com」にアクセスすればPassword Checkupが利用できる。ChromeユーザーがGoogleアカウントにサインインした状態でChromeブラウザーを使用し、そのうえでChromeにパスワードを保存した場合は、それらのパスワードがこのウェブサイトと同期
パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
2要素認証の突破はもはや当たり前 “ここまでやるか”と思わせる攻撃者の最新手口(ITmedia エンタープライズ) - Yahoo!ニュース
iOS 18世代ではこれまでキーチェーンとして提供されていた機能が「パスワード」アプリとして切り出される(出典:AppleのWebサイト) コンシューマーとしての利用者、そして組織の一員としての従業員個人に対するサイバー攻撃の主流は「フィッシング」だと思います。フィッシングも偽サイトに誘導するという、これまでよく知られるものから、サポート詐欺として偽のセキュリティ警告を執拗(しつよう)に表示し、表示される番号に電話をかけさせるという新たな手法も登場しています。「怪しいWebサイトにはアクセスしない」という基本的なものではなく、もう一段踏み込んだ対策が必要です。 Cloudflareが受けた攻撃のフロー。入力されたID/パスワードなど、フォームに入力された情報はリアルタイムに攻撃者に渡るため、TOTPベースのワンタイムパスワードも有効期限が切れる前に悪用できてしまう(出典:「The mech
こんにちは、Azure Identity サポートチームの鈴木です。 本記事は Your Pa$$word doesn’t matter を意訳したものになります。ご不明点等ございましたらご連絡ください。 セキュリティに関して組織の方針を決定できる方との会話の中で 「これまでに漏洩したことがあるパスワードは絶対に再度使用するな」「長いパスワードを使用したほうがいい」「パスワードよりも長いパスフレーズを使えばいい」などなどの話題がでます。実はこれらは、これまでの研究結果と異なっており、マイクロソフトが毎日何億ものパスワードベースの攻撃を防いでいる状況から見ますと正しくありません。多要素認証 (MFA) や脅威の検出の仕組みなど本当に価値のあるものにではなく、パスワード規則に着目しても、気晴らし程度の効果しかありません。 ここでは、パスワードの構成や長さに関しては(ほとんど)意味がないというこ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます NTTコミュニケーションズは7月2日、5月28日に公表した同社設備への不正侵入と一部情報の外部流出の可能性について、新たにBYOD端末からのリモートアクセスを通じた経路での侵入も判明したと発表した。情報の外部流出の可能性についても83社分が新たに判明したとしている。 同社によると、調査で新たにVDIサーバーを経由して一部の社内ファイルサーバーへの不正アクセスが確認され、社内ファイルが閲覧された可能性があることが5月26日に判明した。リモートアクセスを利用したBYOD端末からの不正アクセスが判明し、全てのBYOD端末とシンクライアント専用端末のリモートアクセス環境を即時に停止し、同時に、全社員のパスワードも変更したという。 不正侵入では窃
JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方 - r-weblife
こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。 とりあえずライブラリ使えで終わりでは? JWTを扱うためには 各種暗号化処理 JSON, Base64URLエンコード/デコード あたりの処理が必要です。 関連仕様がRFC化されてからある程度時間も経っており、各言語で仕様を忠実に実装されたものから自身が使う機能をピンポイントで抽出して実装したものまで様々なライブラリが存在します。 ここで、 仕様に忠実に、全ての暗号化処理をサポートするライブラリ を使うだけで、誰もが安心、安全に利用できるかと言うと、そうでもないことは想像できるでしょう。 JWTの各種仕様とは別で最近RFC化された "
パスワード管理がより安全で便利に!Google Chromeのパスワードマネージャーに5つの新機能が追加 | ライフハッカー・ジャパン
パスワードを管理するツールである「パスワードマネージャー」で大事なのは、データを安全に保つことです。 パスワードマネージャーがない場合、同じパスワードを使っていたり、覚えやすいパスワードでない限りは自分のパスワードはすべて書き留めて保存しなければなりません。 優れたパスワード管理ツールは数多くありますが、実際にいつも自分が使用しているものが一番です。 Google Chromeに搭載されているパスワードマネージャーを使っている人はラッキーです。今回、Google Chromeのパスワードマネージャーに新しく5つの機能が追加され、ブラウザでパスワードをさらに安全かつ便利に保存できるようになりました。
こんにちは、 id:hogashi です。 masawada Advent Calendar 2022 - Adventar の 2日目です。 目次 目次 OTP 入力フォーム まずベストプラクティスを見る それでは本題です ちなみに ちなみに2 むすび OTP 入力フォーム なぜか id:masawada さんとたまにワンタイムパスワード (OTP) の話をする印象があります。偶然生成された「ホホンドホド」という文字列*1が TOTP で出そうな見た目じゃん、とか。 最近もまた微妙に使いづらい入力フォームに出会いました。そこで、世に存在するベストプラクティスとそれに沿わないフォームを見て、ベストたる所以をなんとなく感じてみる回をお送りします。結果的に GitHub がなんかむずい感じになっているという記事になりましたが、もちろん各サービスそれぞれ良いと思ってやっているはずなのであくまで個
ついに「パスワードレス」の世界がきた。「Microsoftアカウント」パスワードが削除可能に2021.09.17 18:0084,286 mayumine 一番自分を求めてくれる存在、パスワード。 一日に何度も何度も「パスワードくれ」って求められる人生から、マイクロソフトから率先して開放してくれました。マイクロソフトは9月15日(米国時間)、「Microsoft アカウント」からパスワードを削除できるようにしたと発表しました。 マイクロソフトはパスワードから開放される世界を目指していて、これは共感しかありません。パスワードが好きな人なんかいないし、パスワードはハッカーによる攻撃の主なターゲットになります。 マイクロソフトは、今年初めからパスワードレスの認証システムへの移行を進めていて、法人ユーザーはすでにパスワードレスでアカウントにサインイン可能になっていましたが、今回から全てのユーザーが
テクノロジー業界はパスワードよりましな代替機能に取り組んではいるが、まだ当分はパスワードを使い続けなければならない。過去数十年伝えられてきたパスワードに関するアドバイスの中には、時代遅れになったものもある。ここで紹介しよう。 パスワードの安全性を保つための基本は変わらない。アカウントごとに異なるパスワードを使い、推測しにくいパスワードを作成すること。だが、セキュリティの専門家たちは、3つの古くからのルールは捨てていいと言っている。その3つは、パスワードを書き残すな、誰にもパスワードを教えるな、パスワードは頻繁に変更せよ、だ。 これらのアドバイスは、最大の脅威が人間によるコンピューターへの物理的なアクセスだった時代のものだ。今日では、われわれの生活は完全にインターネットとアプリと絡み合っており、ハッカーは世界中のいたるところにいる。その結果、自分のアカウントを守る方法も考え直さなければならな
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Kubernetes Security for Microservices
パスワードなどが診断データに紛れて流出、「Docker Desktop」に情報漏洩の脆弱性/クライアントアプリの更新を
githubに間違って機密データを上げてしまった時の対処 - Qiita
個人用の「Microsoft アカウント」が「パスキー」に対応、パスワードを忘れたり、盗まれたりする心配が不要に/
もうパスワードは使わない、任天堂も対応する「パスキー」の正体
第3回:自分の死後に備えて「パスワードを書き遺す」のはアリ? 適切な伝え方は?【天国へのプロトコル】
第807回 Vaultwardenでパスワードをセキュアに管理しよう | gihyo.jp
非公開会議の内容を無許可参加した記者がツイートした件についてまとめてみた - piyolog
フリーのパスワード管理ツール「KeePass」に脆弱性、マスターパスワードを復元される/概念実証が公開、修正版は来月リリースされる見込み
More secure private attachments · GitHub Changelog
Kubernetesにおける秘匿情報の扱い方を考える - inductor's blog
Apple端末のセキュリティチップ「Secure Enclave」はどのようにして突破されてしまったのか?
Blog|Webセキュリティはどこから手をつければよいのか?
Google、「パスキー」を個人ユーザーのデフォルトに
水処理場狙ったテロ未遂事件。全PCがWindows 7で同じパスワードを利用していた
2022年、日本で最も使われたパスワード 2位は「password」、1位は?
パスワードの漏えいなどをチェックする機能、「Googleアカウント」で利用可能に
パスワードを盗む拡張機能が「Google Chrome」のストアに? セキュリティ研究者が警鐘/最新の「Manifest V3」拡張機能でパスワード詐取を実証、ストア審査も通過
パスワードで攻撃は防げない - Your Pa$$word doesn't matter
情報流出に個人が備えられること 「パスワードマネージャー」など活用を【西田宗千佳のイマトミライ】
NTT Comへの不正アクセス、BYOD端末からの経路も判明
2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻/マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護
ワンタイムパスワード(OTP)のベストプラクティスじゃない入力フォームに出会う - hogashi.*
ついに「パスワードレス」の世界がきた。「Microsoftアカウント」パスワードが削除可能に
パスワードは定期的に変更すべき?--もはや時代遅れな3つのルール