安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
社内勉強会で発表した資料です https://github.com/kurochan/oidc-wireguard-vpn/
GitHubはPasskeyの対応をパブリックベータとして開始したことを発表しました。従来のパスワードおよび2要素認証の代わりに、Passkeyによるパスワードレスな認証を行うことが可能になります。 Moving past passwords is for better account security. Today we’re launching passkey support on https://t.co/VDZYKUklba - you can enable passkeys today and ditch that password. https://t.co/nvTweiY0Tk — GitHub (@github) July 12, 2023 Passkeyを有効にするには、自分のダッシュボード画面から右上のアイコンをクリックし、表示されたメニューから「Feature Pre
9月5日に発生した金融機関のワンタイムパスワード認証サービスの障害についてまとめてみた - piyolog
2019年9月5日午後に、地方銀行等の金融機関でオンライン取引でシステム障害が発生し取引等に影響が及びました。障害を発表した金融機関は同日夜までにいずれも復旧しています。ここでは関連する情報をまとめます。 9月5日に障害発表した金融機関 2019年9月5日午後にシステム障害、または復旧について発表している金融機関。(piyokangoが確認したもの) 金融機関名 障害発生時間 障害報告 中央労働金庫 16時53分~19時7分 リリースあり 静岡県労働金庫 19時7分復旧 リリースあり 長野県労働金庫 16時53分~19時7分 リリースあり 千葉興業銀行 記載なし トップ画面掲示 紀陽銀行 17時50分~19時7分 リリースあり 池田泉州銀行 16時53分~19時7分 リリースあり きらやか銀行 記載無し リリースあり 北海道銀行 16時50分頃発生(復旧済) リリースあり 北陸銀行 16時
秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ
エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。 趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。 夜ご飯を催促するためデスク横で待機する犬氏(かわいい) 今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証 ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合 認証ステップの共通化 まとめ We are hirin
【2020年新版】Excel パスワードを解除する裏ワザ
エクセル ファイルにパスワードを設定するのは便利ですが、パスワードを解除したい場合も時には出てきます。また、担当者が変わってパスワードがわからなくなったり、忘れてしまったりすることもありますので、パスワードがわからないと対処に困るかもしれませんが、実はパスワードがなくても簡単な手順で設定を解除できます。この記事では、エクセル パスワードの一般的な解除方法とパスワードがわからない場合の対処法を説明します。 Excel ファイルのパスワードを解除する一般的な方法 パスワードがなくてもExcel ファイルのパスワードを解除する裏ワザ Excel ファイルのパスワードを解除する一般的な方法 Excel ファイルに設定されているパスワードを解除するにはどうすればよいですか。それに、Excel パスワードには開くパスワード、読み取り専用パスワード、書き込みパスワードなど様々な種類のパスワードがあります
世界最大級の宿泊予約サイト「ブッキング・ドットコム」の仕組みが悪用され、ホテルなど宿泊施設のパソコン端末がハッキングされて予約客のクレジットカード情報が盗まれる被害が、今年5月以降に日本国内で相次いでいることがわかった。少なくとも68施設が被害を公表した。ブッキング・ドットコム運営会社(オランダ)は、被害が世界規模で起きていると認めた。 盗まれた情報が不正決済に使われた恐れが取材で把握され、同社は「被害にあったお客様にはお金を取り戻すべく努力している」としている。 ブッキング・ドットコムのサイトやアプリでは、宿泊施設と旅行者がそれぞれIDとパスワードを使ってアクセスする必要がある。 複数の国内ホテルや同社への取材によると、今回の被害は何者かが旅行者を装い、ホテルに英文のメールを送りつけることで始まる。メールにはウイルス感染を誘発するリンクが埋め込まれており、ブッキング・ドットコム用のホテル
ハッカーがデバイス攻撃時に最初に試すパスワードとは
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます 弱いパスワードやデフォルトのパスワードを使うのは間違いであることを示す証拠が、また1つ増えたと言っていいだろう。ハッカーがデバイスを乗っ取ろうとする時、実際に最初に試すのがその種のパスワードであることが、調査によって明らかになった。 セキュリティ会社のF-Secureは、世界中の国に「おとりサーバー」(ハニーポット)を配置し、サイバー攻撃のパターンを調べている。これらのサーバーに入ってくるトラフィックの大半は、不正アクセスの標的とするサーバーを見つけるためにインターネットをスキャンしているハッカーが、おとりに掛かった結果として集まったものだ。 同社によれば、これらのハニーポットに対するトラフィックは、2019年に大幅に増加したという。同
CVE-2020-10749(Kubernetesの脆弱性)のPoCについての解説 - knqyf263's blog
少し前ですが、Kubernetesの方から以下の脆弱性が公開されました。 github.com タイトルにはCVE-2020-10749と書きましたが、複数のCNI実装が影響を受ける脆弱性でCVE-2020-10749はcontainernetworking/pluginsにアサインされたものです。他にもCalicoはCVE-2020-13597、DockerはCVE-2020-13401、などとそれぞれCVE-IDがアサインされています。 このIssueの説明を読んで、はいはいあれね完全に理解した、と思って一旦閉じました。ですが、頭で分かった気になって手を動かさないのは一番やってはいけないことと念じ続けてきたのに、しれっと同じことをやりそうになっていた事に気づきました。なので数日経ってからちゃんとPoCを書いてみました。多少知識が増えてくるとついうっかりやってしまいがちなので気をつけなけ
1月28日ごろからApple IDでトラブルが起きたとする報告が相次いでいる。Apple IDの設定に関する確認を促す通知が届いたのち、正しいID/パスワードを入力してもApple IDにログインできなくなるという。複数のユーザーで発生しており、X(旧Twitter)でも「Apple ID」がトレンド入りする事態となっている。 トラブルに遭遇したユーザーの投稿をみると、「Apple ID設定をアップデート」という確認を促す通知が突然iPhoneに届いたという。ID/パスワードでログインしようとすると「このApple IDは有効ではありません」と表示され、それ以降Apple IDにログインできなくなるようだ。 Appleのカスタマーサポートに問い合わせたユーザーによると、同様の事例が多数報告されており、24時間程度でApple IDが有効化されると伝えられたという。 全てのApple IDユ
2019年9月の、これだけは押さえておきたいWeb関連の動き
「Web系の最新情報を知りたいけど、日々業務が忙しくて追いかけられない」という方のために、1ヶ月のWeb系ニュースの中で「これだけは押さえておきたい」というものを1つの記事にまとめています。 Figma XD→Figmaに変えた理由とその運営方法やメリットについて|駒ヶ嶺 亮一|note 今月はXDやSketchからFigmaへの乗り換えの記事が多かった気がします。 共有用と開発用のURLを生成・更新する必要がなく、共有用のURLは即自に共有できる というのはXDと比較したメリットですね。 デザインツール「Figma」を5名のデザインチームに導入して半年経った振り返りとビジネスメリットについて|rinoside|note こちらはSketchからFigmaへの乗り換え。Sketchだと周辺ツールの月額費用がかかりますが、それが込みになっているのは大きそうですね。 Figma FAQ 、 よ
この小さなタグが「パスワード多すぎ問題」を解決するかもしれない2024.01.30 20:0017,018 小暮ひさのり 全部覚えてられんもんね…。 さまざまなサービス、システムが展開されている現代。それらにログインするにしても、パスワードの流用はリスキー。サービスごとに異なるパスワードを利用することが推奨されています。 でもさぁ〜! 10も20も、規則性のない文字列を覚えてられないじゃん! ふつうはさ! ってなりますよね。なので定番のパスワードでいいかな。って妥協…は本当はよろしくないので、パスワードマネージャアプリ(1Password)や、機能(Googleパスワードマネージャー/iCloudキーチェーン)を利用している人も多いと思います。 そんなパスワードマネージャを、機器に置き換えたのが、わずか9gのこのタグ「PasswordPocket(パスポケ)」。 Image: エアリアパス
IaCでセキュリティを強化しよう!~IAMが苦手な開発者でも簡単に権限を絞れる。そう、AWS CDKならね!~/secjaws32
「Security-JAWS【第32回】」での登壇資料です。 イベントURL:https://s-jaws.doorkeeper.jp/events/167836
4億7000万円相当のビットコインを保管するウォレットのパスワードを忘れてしまった人物をサポートしたハッカーが実際に取った方法について解説
ビットコインをはじめとする仮想通貨は、パスワードや秘密鍵などで厳重に保護されているウォレットに保管するのが一般的ですが、パスワードを忘れるとウォレットから仮想通貨を引き出せなくなってしまう問題があります。デジタルウォレットのパスワードを忘れてしまったユーザーのアカウント復旧をサポートしたエンジニアのジョー・グランド氏が、パスワードを解読した方法について解説しています。 I hacked time to recover $3 million from a Bitcoin software wallet - YouTube Researchers cracked an 11-year-old password to a $3M crypto wallet | Hacker News https://news.ycombinator.com/item?id=40503925 ヨーロッパ在住のマイ
Wi-Fi ルータを安全に使う上での注意
2019年12月18日に、一般社団法人デジタルライフ推進協会から「ご家庭で、Wi-Fi ルータをより安全にお使い頂くために」として、 Wi-Fi ルータの使用方法について注意をまとめた提言が発表されました。また、開発ベンダからも注意が呼びかけられています。 JPCERT/CCでも、デフォルトの ID やパスワードを悪用されて侵入され、マルウエア感染などの被害に繋がったとの報告を複数受けています。 Wi-Fi ルータを安全に使う上での注意点をまとめましたので、これらを参考に適切に設定した上で、使用することをご検討ください。 ※一般社団法人デジタルライフ推進協会様の名称を誤って記載しておりました。訂正するとともに深くお詫び申し上げます。 (1) 最新のファームウエアの適用 Wi-Fi ルータにおいても定期的に脆弱性が報告されており、Japan Vulnerability Notes(JVN)
第一報(2020年11月16日付)、第二報(2020年11月18日付)に関してはこちらよりご確認ください。 QUOINE株式会社(本社:東京都千代田区、代表取締役:栢森 加里矢、以下当社)は、2020年11月に発生した不正アクセスに関する事象について、さらに調査を進めた結果を以下のように報告致します。 このような事態が発生し、お客様に多大なご迷惑をおかけしましたことをあらためて深くお詫び申し上げます。 なお本事案に関しましては適宜監督官庁へ報告を行っております。 1.調査結果 2020年11月13日(金)に発生した当社アカウント・ドメインの登録情報が悪意のある第三者(以下、第三者)に変更されたことにより、当社のシステム・インフラの一部に不正アクセスが可能になった事案について以下のように報告致します。 データ格納業者の協力も含めて、綿密な社内調査と分析を行いました。 その結果、お客様の個人情
2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されており、パスワードの流出が懸念されています。この事件を受け、セキュリティ研究者のナズ・マルクタ氏が「Vaultをクラッキングする方法」を実演し、その危険性に警鐘を鳴らしました。 Cracking encrypted Lastpass vaults | Markuta https://markuta.com/cracking-lastpass-vaults/ LastPass Security Breach UPDATE: What You Need to Know h
WebOTP API は、特別な形式の SMS メッセージの受信時にワンタイムパスワードを生成することで、電話番号がユーザーのものであることを検証する方法を提供します。 電話番号はアプリケーションがユーザーを識別する方法としてよく使用され、番号がユーザーのものであることを検証するため、SMS がよく使用されます。通常のシナリオでは、ユーザーにワンタイムパスワードを含むメッセージが送信されます。そして、ユーザーはこのパスワードを、番号がユーザーのものであることを検証するフォームにコピペしなければならないでしょう。 WebOTP API は、アプリケーションがパスワードをコピペなしで自動で受信して検証することを可能にし、この手続きで生じるイライラを解消します。
「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。 Dumb Password Rules https://dumbpasswordrules.com/ duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
Appleは、Face IDやTouch IDを使ったアカウント認証をパスワードの代わりに使えるようにする、新しいパスキー機能を開発していおり、AppleのエンジニアであるGarrett Davidson氏がWWDCの開発者セッション「Move beyond passwords」でこの新機能について説明しています。 Appleが開発中の新しいパスキー機能 「iOS 15」と「macOS Monterey」の機能「Passkeys in iCloud Keychain」は、iCloudキーチェーンにパスキーと呼ばれる新しいWebAuthn証明書を保存します。アカウントの作成やログイン時にパスワードの代わりに使用され、ワンタップでログインが可能です。 パスキーを使ってアカウントを作成すると、パスワードは必要ありません。Touch IDやFace IDによるログインと認証だけで、そのアカウントに
Google Cloud Platform(以降 GCP) の認証認可については GCP と OAuth2 などの記事があるが、 Compute Metadata credential そのものの解説はあまり十分にされているとは言えないので、今回一つの記事で説明する。 Compute Metadata Credentials と聞いてもピンと来ない人向けに書くと、「Cloud Run や Cloud Functions などの GCP のプロダクトから GCP の API を呼ぶのにサービスアカウントキーが必要ないこと」の裏側がどのように動いているかの話について説明する記事である。 Compute Metadata Credentials とは Compute Metadata Credentials は Google Cloud Platform(以降 GCP) の標準の credent
Kaspersky Labは8月22日(米国時間)、「Agent 1433: remote attack on Microsoft SQL Server|Securelist」において、Microsoft SQL Serverが世界中でサイバー攻撃のターゲットになっていると伝えた。調査結果によると、その多くはベトナムに存在しており、これにロシア、インド、中国、トルコ、ブラジルが続くとしている。 ベトナム (16%) ロシア (12%) インド (7%) 中国 (5%) トルコ (5%) ブラジル (5%) 2019年1月〜2019年7月 Microsoft SQL Serverへの攻撃頻度を可視化したマップ - 資料: Kaspersky Lab 主な攻撃方法はブルートフォース攻撃(総当り攻撃)とのこと。攻撃者はまずMicrosoft SQL Serverがインストールされたサーバであるか
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた | DevelopersIO
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた AWS IAM Identity Center で一時的なアクセス許可を与える仕組みを提供するソリューション Temporary Elevated Access Management (TEAM) が aws-samples で公開されました。例えば、特定の AWS アカウントへの AdministratorAccess 権限のアクセスを利用者が申請し、上長が承認する、といった運用を実現できます。 AWS のブログでも TEAM の使い方が紹介されています。 本ブログでは TEAM ソリューションをデプロイし、AWS アカウントへの一時的なアクセスの申請と承認を試してみます。
Passkey の動向 2023年ふりかえり - Money Forward Developers Blog
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題:ヤマーとマツの、ねえこれ知ってる?(1/2 ページ) 経歴だけは長いベテラン記者・編集者の松尾(マツ)と、幾つものテック系編集部を渡り歩いてきた山川(ヤマー)が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。今回は編集長(キーチ)も特別参加。 ヤマー マツさん、とんでもないニュースが入ってきましたね。 尼崎市、全市民46万人分の個人情報入りUSB紛失 委託先従業員が飲食店でなくしたか マツ また給付金ですか。給付金といえば記録媒体問題。 ヤマー 前回はフロッピーでしたが、今回話題になっているのは「USB」だそうです。 FD・おぼえていますか あなたのフロッピーは何インチで何フォーマット? マツ USBインタフェースにデータを入れるという高度な技術が
パスワード共有用URLをサクッと発行して安全に共有できるウェブアプリ「Password Pusher」レビュー、無料で使えてセルフホストも可能
「他人にパスワードを送信したいけど、メールやメッセージアプリで平文で送るのは不安」という状況を経験したことがある人は多いはず。オープンソースで開発されているウェブアプリ「Password Pusher」を使えばパスワードを安全かつ簡単に送信することができるので、Password Pusherを使ったパスワード送信手順をまとめてみました。 Securely Send a Password | Password Pusher https://pwpush.com/ 上記のリンクをクリックすると、Password Pusherのトップページにアクセスできます。この画面で送信したいパスワード入力すると、パスワード共有用のURLを発行できます。 まずは言語を日本語化します。画面右上の「Language」をクリック。 「日本語」をクリック。 これで日本語化できました。 トップページに配置された各種機能
Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装(#481472)について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。Yahoo! JAPAN研究所の大神 渉です。 パスワードの代わりに生体認証などを使うシンプルな認証技術「FIDO」の標準化活動に携わっています。 2020年6月4日に、FIDOアライアンスから私が著者として関わった「White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts」というホワイトペーパー(FIDOのベストプラクティスや標準技術の活用に関してFIDOアライアンスが発行する文書のこと)が発行されました。 本記事では、私の経験をもとにヤフーがパスワードレス認証
Google Authenticator(Google認証システム)がログイン情報のデバイス間同期に対応してバックアップがめちゃくちゃ簡単になったので同期手順をまとめてみた
ウェブアプリなどのセキュリティ向上のために「Google Authenticator(Google認証システム)」を用いてワンタイムパスワードを利用している人も多いはず。しかし、Google Authenticatorには長らくログインに必要な情報の同期機能が搭載されておらず、「デバイスを盗難されたり紛失されたりするとアカウントにログインできなくなる」という問題が存在していました。新たに、Google AuthenticatorがGoogleアカウントを介した同期に対応し、デバイスを紛失しても別デバイスからワンタイムパスワードを確認できるようになったので設定方法を確認してみました。 Google Online Security Blog: Google Authenticator now supports Google Account synchronization https://sec
米Amazonは10月23日(現地時間)、WebとiOSのショッピングアプリで、パスワード不要のサインイン機能「パスキー(passkey)」でのログインを可能にしたと発表した。現在展開中で、Androidでも「間もなく」対応するとしている。 アカウントで設定すれば(方法は後述)、Windows HelloやiPhoneの指紋/顔認証やPINでAmazonにログインできるようになる。 パスキーは、昨年5月にApple、Google、Microsoftが発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省いて安全にログインできるようにする機能だ。 Amazonでパスキーを設定するには、[アカウント&リスト]→[ログインとセキュリティ]を選択し、新たに追加された「パスキ
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」(4位)、「linkedin」(7位)、「社名や部署名(もしくはそれを一部変更したもの)」(12位)などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名(もしくはそれを一部変更したもの)」だったという。TOP20には「opnesesame」(6位)
セキュリティ企業のESETは、ダークウェブ上で50万個を超える「Zoom」アカウントが販売されているとして注意を呼びかけた。セキュリティ企業のCybleによる警告を伝えた、BleepingComputerの報道を紹介したもの。 ESETによると、新型コロナウイルスによる感染症(COVID-19)の大流行で、企業の多くで従業員のリモートワークが実施されている。その結果、Zoomなどのビデオ会議サービスに対する需要が急上昇し、サイバー犯罪者たちにとって格好の標的になった。 ダークウェブ上で運営されている犯罪者向けフォーラムの1つをCybelが調査したところ、1アカウント当たり約0.2セント(約0.22円)で約53万個のZoomアカウントを入手できてしまったそうだ。取得した情報には、各アカウントのメールアドレス、パスワード、個人用ミーティングURLとそれらのホストキーが含まれていた。なかには、銀
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に パスワードマネージャのBitwardenがPasskey対応を発表しました。 Passkey対応のWebサイトへのログインも、BitwardenのマスターパスワードでのログインもPasskeyでできるようになります。 Passkeys are coming soon to Bitwarden! This summer, you'll be able to log into Bitwarden using a passkey as well as store #passkeys within your vault. Check out the blog: https://t.co/XqkHrNJzaf pic.twitter.co
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WireGuardとOpenID Connectの連携をGoで実装してみた
GitHubがPasskeyに対応し、パスワードレスでログイン可能に
ブッキング・ドットコム悪用して客のカード情報盗む 世界規模で被害:朝日新聞デジタル
「このApple IDは有効ではありません」と表示されるトラブルが複数発生 Xトレンド入りする事態に
この小さなタグが「パスワード多すぎ問題」を解決するかもしれない
パスワードレス認証技術「パスキー」は速い、安全、便利 ~Googleが新データでアピール/パスワードや2要素認証(MFA)よりも有望
当社利用のドメイン登録サービスにおける不正アクセスについて(最終報)
パスワード流出をチェックできる「Have I Been Pwned」、FBIのデータが加わりさらに鉄壁に【やじうまWatch】
Microsoftアカウント、パスワードのサインインを無効化する新機能
データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演
WebOTP API - Web API | MDN
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
Apple、パスワード不要となる新しいパスキー機能を開発 - こぼねみ
「Microsoft Authenticator」が住所と支払い情報の自動入力に対応 ~Edge、公式Chrome拡張とも連携/iOS/Android対応の認証・パスワード管理アプリ
GCP の Compute Metadata Credentials について
世界中で攻撃を受けるMicrosoft SQL Server、パスワードの見直しを
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題
Slackで認定されたURLリンク偽装の脆弱性
パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動
Amazon、WebとiOSで「パスキー(passkey)」サポート Androidも間もなく
aws-vault についてのあれこれ - Qiita
漏えいデータから分析、業界別“ガバガバパスワード”集 海外セキュリティ企業が公開
50万個超の「Zoom」アカウントがダークウェブで販売中--パスワードの使い回しは危険
Microsoft自身が提供 ~「Edge」の保存パスワードを「Chrome」で利用可能にする拡張機能/「Authenticator」モバイルアプリと組み合わせれば、ほぼすべての環境でパスワードを同期できる【レビュー】
