「辞書に載っている単語を含めてはいけない」「120日ごとに新しくパスワードを設定すること」などバカげたパスワードのルールを持つサイトを集めた「Dumb Password Rules」
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。 Dumb Password Rules https://dumbpasswordrules.com/ duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。
LayerX Fintech事業部(※)で、ガバナンス・コンプラエンジニアリングをしている 鈴木 (@ken5scal )です。 ※三井物産デジタル・アセットマネジメントに出向しています。 今回は、AWS IAMポリシーの条件における「ForAllValues」の仕様を誤って理解していたことから、安全でないアクセス制御を実装していたという内容です。もし同様の勘違いをされている方がいたら参考になれば幸いです。 ユースケース AWS IAMユーザーを、ロールの trust policy がユーザーのタグで制御するケースで考えます。 具体的には、「Group A あるいは Group B」に所属し、且つ「Admin」権限のあるユーザーのみが行使できる役割「AdminABRole」があるとしましょう。 この場合、Group と Admin のタグが存在し、下記のようなパターン(※)が考えられます。
Appleは、Face IDやTouch IDを使ったアカウント認証をパスワードの代わりに使えるようにする、新しいパスキー機能を開発していおり、AppleのエンジニアであるGarrett Davidson氏がWWDCの開発者セッション「Move beyond passwords」でこの新機能について説明しています。 Appleが開発中の新しいパスキー機能 「iOS 15」と「macOS Monterey」の機能「Passkeys in iCloud Keychain」は、iCloudキーチェーンにパスキーと呼ばれる新しいWebAuthn証明書を保存します。アカウントの作成やログイン時にパスワードの代わりに使用され、ワンタップでログインが可能です。 パスキーを使ってアカウントを作成すると、パスワードは必要ありません。Touch IDやFace IDによるログインと認証だけで、そのアカウントに
Google Cloud Platform(以降 GCP) の認証認可については GCP と OAuth2 などの記事があるが、 Compute Metadata credential そのものの解説はあまり十分にされているとは言えないので、今回一つの記事で説明する。 Compute Metadata Credentials と聞いてもピンと来ない人向けに書くと、「Cloud Run や Cloud Functions などの GCP のプロダクトから GCP の API を呼ぶのにサービスアカウントキーが必要ないこと」の裏側がどのように動いているかの話について説明する記事である。 Compute Metadata Credentials とは Compute Metadata Credentials は Google Cloud Platform(以降 GCP) の標準の credent
Kaspersky Labは8月22日(米国時間)、「Agent 1433: remote attack on Microsoft SQL Server|Securelist」において、Microsoft SQL Serverが世界中でサイバー攻撃のターゲットになっていると伝えた。調査結果によると、その多くはベトナムに存在しており、これにロシア、インド、中国、トルコ、ブラジルが続くとしている。 ベトナム (16%) ロシア (12%) インド (7%) 中国 (5%) トルコ (5%) ブラジル (5%) 2019年1月〜2019年7月 Microsoft SQL Serverへの攻撃頻度を可視化したマップ - 資料: Kaspersky Lab 主な攻撃方法はブルートフォース攻撃(総当り攻撃)とのこと。攻撃者はまずMicrosoft SQL Serverがインストールされたサーバであるか
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた | DevelopersIO
AWS IAM Identity Center において一時的なアクセス許可を与える仕組みを提供する Temporary Elevated Access Management (TEAM) ソリューションを試してみた AWS IAM Identity Center で一時的なアクセス許可を与える仕組みを提供するソリューション Temporary Elevated Access Management (TEAM) が aws-samples で公開されました。例えば、特定の AWS アカウントへの AdministratorAccess 権限のアクセスを利用者が申請し、上長が承認する、といった運用を実現できます。 AWS のブログでも TEAM の使い方が紹介されています。 本ブログでは TEAM ソリューションをデプロイし、AWS アカウントへの一時的なアクセスの申請と承認を試してみます。
Passkey の動向 2023年ふりかえり - Money Forward Developers Blog
はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 2023年はマネーフォワード ID として本格的にパスキーのサポートを開始した年でした。 2023年4月にリリースしたマネーフォワード ID のパスキー実装ですが、2023年末の時点でマネーフォワード ID へのログインアクションの7%ほどがパスキーによるログインになっており、Google Sign-in や Sign in with Apple などを抜いてパスワードに次ぐ第二位の認証手段となっています。 この一年で、Money Forward Developers Blogにも、最初に Passkey Autofill に全面対応した実装でリリースに至った経緯や、定期的な利用状況レポートなどを挙げてきました。 Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題:ヤマーとマツの、ねえこれ知ってる?(1/2 ページ) 経歴だけは長いベテラン記者・編集者の松尾(マツ)と、幾つものテック系編集部を渡り歩いてきた山川(ヤマー)が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。今回は編集長(キーチ)も特別参加。 ヤマー マツさん、とんでもないニュースが入ってきましたね。 尼崎市、全市民46万人分の個人情報入りUSB紛失 委託先従業員が飲食店でなくしたか マツ また給付金ですか。給付金といえば記録媒体問題。 ヤマー 前回はフロッピーでしたが、今回話題になっているのは「USB」だそうです。 FD・おぼえていますか あなたのフロッピーは何インチで何フォーマット? マツ USBインタフェースにデータを入れるという高度な技術が
パスワード共有用URLをサクッと発行して安全に共有できるウェブアプリ「Password Pusher」レビュー、無料で使えてセルフホストも可能
「他人にパスワードを送信したいけど、メールやメッセージアプリで平文で送るのは不安」という状況を経験したことがある人は多いはず。オープンソースで開発されているウェブアプリ「Password Pusher」を使えばパスワードを安全かつ簡単に送信することができるので、Password Pusherを使ったパスワード送信手順をまとめてみました。 Securely Send a Password | Password Pusher https://pwpush.com/ 上記のリンクをクリックすると、Password Pusherのトップページにアクセスできます。この画面で送信したいパスワード入力すると、パスワード共有用のURLを発行できます。 まずは言語を日本語化します。画面右上の「Language」をクリック。 「日本語」をクリック。 これで日本語化できました。 トップページに配置された各種機能
Slackで認定されたURLリンク偽装の脆弱性 Apr 27, 2020 フィッシング詐欺における偽サイトへの誘導では、正規サイトのURLをかたってリンクをクリックさせる手口が後を絶たない。この手口は主にメールや掲示板からの誘導で悪用されるが、グループチャット内でもURLリンクを偽装できれば脅威になると考えた。ビジネスチャットツールとして世界的に利用されているSlackでのURLリンク偽装(#481472)について解説する。 URLリンクの偽装 HTMLでは、ハイパーリンクとして表示するURLと、実際にリンクするURLを個別に設定できる。例えば、以下のHTMLはレンダリングにより https://example.com となる。表示上は example.com へのリンクに見えるが、実際には akaki.io へリンクする。 <a href="https://akaki.io">https
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。Yahoo! JAPAN研究所の大神 渉です。 パスワードの代わりに生体認証などを使うシンプルな認証技術「FIDO」の標準化活動に携わっています。 2020年6月4日に、FIDOアライアンスから私が著者として関わった「White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts」というホワイトペーパー(FIDOのベストプラクティスや標準技術の活用に関してFIDOアライアンスが発行する文書のこと)が発行されました。 本記事では、私の経験をもとにヤフーがパスワードレス認証
Google Authenticator(Google認証システム)がログイン情報のデバイス間同期に対応してバックアップがめちゃくちゃ簡単になったので同期手順をまとめてみた
ウェブアプリなどのセキュリティ向上のために「Google Authenticator(Google認証システム)」を用いてワンタイムパスワードを利用している人も多いはず。しかし、Google Authenticatorには長らくログインに必要な情報の同期機能が搭載されておらず、「デバイスを盗難されたり紛失されたりするとアカウントにログインできなくなる」という問題が存在していました。新たに、Google AuthenticatorがGoogleアカウントを介した同期に対応し、デバイスを紛失しても別デバイスからワンタイムパスワードを確認できるようになったので設定方法を確認してみました。 Google Online Security Blog: Google Authenticator now supports Google Account synchronization https://sec
米Amazonは10月23日(現地時間)、WebとiOSのショッピングアプリで、パスワード不要のサインイン機能「パスキー(passkey)」でのログインを可能にしたと発表した。現在展開中で、Androidでも「間もなく」対応するとしている。 アカウントで設定すれば(方法は後述)、Windows HelloやiPhoneの指紋/顔認証やPINでAmazonにログインできるようになる。 パスキーは、昨年5月にApple、Google、Microsoftが発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省いて安全にログインできるようにする機能だ。 Amazonでパスキーを設定するには、[アカウント&リスト]→[ログインとセキュリティ]を選択し、新たに追加された「パスキ
クラウドワークス SREチームの @kangaechu です。アンタッチャブルのコンビ復活に目が離せないこの頃です。 クラウドワークス Advent Calendar 2019の4日目として、最近SREチーム内で使われるようになったツール、 aws-vault を紹介します。 背景 aws-vaultの話をする前に、少しだけAssumeRoleの話をします。 AssumeRole assumeは引き受けるなどの意味を持つ単語で、AWSを使用するユーザやリソースが本来持っている権限とは別の権限を引き受けることができるしくみです。ものすごいざっくりいうと、sudoコマンドのような感じです。AssumeRoleはどのようなときに便利なのでしょうか。 マルチアカウントでのIAMユーザ集約管理 リソースの分離や課金管理などを目的として、最近はAWS Organizationsを使用したマルチアカウン
リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」(4位)、「linkedin」(7位)、「社名や部署名(もしくはそれを一部変更したもの)」(12位)などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名(もしくはそれを一部変更したもの)」だったという。TOP20には「opnesesame」(6位)
セキュリティ企業のESETは、ダークウェブ上で50万個を超える「Zoom」アカウントが販売されているとして注意を呼びかけた。セキュリティ企業のCybleによる警告を伝えた、BleepingComputerの報道を紹介したもの。 ESETによると、新型コロナウイルスによる感染症(COVID-19)の大流行で、企業の多くで従業員のリモートワークが実施されている。その結果、Zoomなどのビデオ会議サービスに対する需要が急上昇し、サイバー犯罪者たちにとって格好の標的になった。 ダークウェブ上で運営されている犯罪者向けフォーラムの1つをCybelが調査したところ、1アカウント当たり約0.2セント(約0.22円)で約53万個のZoomアカウントを入手できてしまったそうだ。取得した情報には、各アカウントのメールアドレス、パスワード、個人用ミーティングURLとそれらのホストキーが含まれていた。なかには、銀
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に パスワードマネージャのBitwardenがPasskey対応を発表しました。 Passkey対応のWebサイトへのログインも、BitwardenのマスターパスワードでのログインもPasskeyでできるようになります。 Passkeys are coming soon to Bitwarden! This summer, you'll be able to log into Bitwarden using a passkey as well as store #passkeys within your vault. Check out the blog: https://t.co/XqkHrNJzaf pic.twitter.co
・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。 ・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。 ・対策は、「1つ捻った」覚えやすい文章にすること。 テレワーク拡大で「パスワードの使い回し」大量発生!? 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回し
知人や友達がくるたびに、自宅のWi-Fiパスワードを教えて入力してもらうのが面倒です。何か良い方法はないでしょうか。
BL(ボーイズラブ)に特化したSNS「pictBLand」(ピクトブランド/ピクブラ)が不正アクセスを受け、ユーザーのメールアドレスやパスワードが流出した可能性がわかった。運営会社のGMW(名古屋市)が8月15日に発表した。被害範囲は明らかにしていないが、同サービスは累計130万ユーザーをかかえているという。 流出した可能性があるのは、pictBLandのログインメールアドレス・ログインパスワードと、関連サービスで、オンラインで同人誌即売会を行える「pictSQUARE」(ピクトスクエア/ピクスク)のログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報。 他サービスで同じパスワードを使っている場合は変更を呼び掛けている。pictSQUAREの振込先口座/配送先住所情報は削除したという。 8月14日、pictBLandで不正なサイトが表示される不具合が発生。15日に全サ
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
2023/01/28 オープンソースカンファレンス大阪で発表したスライドです。 目次 1部 パスワード認証の課題 2部 ソーシャルログインのすすめ 3部 IDaaSのすすめ
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット(大文字と小文字)、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ
DX(デジタルトランスフォーメーション)で失敗している企業は多い。筆者はIT関連の開発に長年携わっており、「失敗学」の経験を基に『DX失敗学 なぜ成果を生まないのか』(日経BP)を上梓(じょうし)した。今回は、その方法で実際のプロジェクトが失敗した真因を探ってみる。題材とするのはセブン&アイ・ホールディングス(以下セブン&アイ)の「7pay(セブンペイ)」だ。 7payはセブン&アイが2019年7月1日に始めたスマートフォンによるバーコード決済のサービス。2万店舗を超えるセブンイレブン店舗で利用できるようにした。既存のセブン-イレブンアプリに支払い機能を付加したもので、アプリトップ画面から最少2タップで利用登録できるという簡単さを売りにした。当初の予定では、2019年10月以降に外部加盟店での利用も始め、2020年からはセブン&アイグループ各社のアプリとの連携を図っていく予定だったが約3カ
Help users change passwords easily by adding a well-known URL for changing passwords Stay organized with collections Save and categorize content based on your preferences. Set a redirect from /.well-known/change-password to the change password page of your website. This will enable password managers to navigate your users directly to that page. Introduction As you may know, passwords are not the b
ここでは強いパスワードの作り方を具体的に見ていく。図1のように桁数や文字種を増やし、単純な文字列を使わないのが鉄則だ。問題は覚えやすさ。ブラウザーに記憶させるなら、複雑で覚えづらくても問題はない。だが、そうしない場合、手帳やパスワード管理アプリに記録するにしても、ログインのたびにそれらを参照するのはちょっと面倒だ。パスワードは覚えやすいに越したことはない。 図1 強いパスワードの条件は当然ながら、ある程度の桁数があってさまざまな文字種を含むことだ。一般的な単語を単独で使わないのは大前提。誕生日や電話番号などわかりやすい個人情報もNGだ。自分のSNSで公開している記念日や記録の数値なども避けたほうがよい 理想のパスワードは自分では覚えやすく、他人からは見破られない文字列。そこで提案したいのが、日本語のフレーズを基にした“語呂合わせ”だ。特に海外の攻撃者に対しては日本語のローマ字表記が効果的。
こんにちは、Azure Identity サポート チームの 五十嵐 です。 本記事は、2023 年 4 月 3 日に米国の Azure Active Directory Identity Blog で公開された Quick Wins to Strengthen Your Azure AD Security を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 どの組織も、インフラの安全性と信頼性を高めるために、攻撃の対象範囲を縮小するべく取り組んでいらっしゃると存じます。 Microsoft Global Compromise Recovery Security Practice (CRSP) のチーム メンバーとして、セキュリティの態勢を改善し、侵入を平均よりも難しくすることで、低スキルの攻撃者がすぐに攻撃を諦めて次のターゲットに移る事例をこれま
株式会社リコーは、このたび、クラウドストレージサービス「RICOH Drive」が第三者による不正アクセスを受け、お客様登録情報の一部が外部に流出した可能性があることを確認しましたので、お知らせいたします。 お客様には多大なご心配、ご迷惑をおかけし、深くお詫び申し上げます。 1. 今回の不正アクセスによる情報流出の状況(下線部を10月26日に更新) お客様のログインID(3,798ID)※1 *このうち、RICOH DriveのログインID(3,429ID)、RICOH SnapChamberに係る解約済みのログインID(369ID)※2※3 *このうち、ログインIDにメールアドレスを設定しているお客様が606件あります。 *お客様の保存ファイル、パスワードなどの流出はございません。(以下に記載する「暗号化したパスワード」を除く) *IDはリコーグループ内での利用を除いた数となります。 ※
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」
富士通製のプロジェクト情報共有ツール「ProjectWEB」を導入していた官公庁などから情報が流出していた問題で、富士通は8月11日、計129組織から情報が流出していたとする調査結果を発表した。第三者が同ツールの脆弱性を突き、正規のID・パスワードを不正に取得し、ログインしていたという。 5月に判明した不正アクセスを受け、同社は流出範囲について調査・分析を進めていた。 流出を確認したのは、組織の内部システムを構成する機器に関する情報、プロジェクトの進捗管理表や体制図といった内部資料など。一部には関係者の氏名・メールアドレスなどの個人情報も含まれるという。129組織の詳細については「非公表」としている。 不正アクセスの方法について同社は「第三者が何らかの方法で正規のIDとパスワードを入手し、ログインしていた」と説明。IDとパスワードを盗まれた原因については明らかになっておらず、同社は「ツール
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
Drive Password https://drivepassword.com/ Drive Passwordの特徴 「Drive Password」は、Google Drive上に暗号化して保存するパスワードマネージャです。 Drive Passwordの流れ Googleアカウントにログインし、Drive Passwordにログインする認証モジュール(パスワード/ファクタ認証/パターンロック)を登録していきます。なお、この情報はデバイス上で暗号化され、サーバーに送信されることはありません。 続いて、256ビットAESでデータを暗号化しGoodle Driveに保存します。一般的なパスワードマネージャと異なり、保存されたデータは、実際にGoogle Driveで保存されることでユーザーの管理下におかれます。破棄するパスワードをユーザー自身で物理的に削除することができるのが特徴の1つです
ブロックチェーン時代の認証 / Authentication in the Blockchain Era
2019-08-30 builderscon https://builderscon.io/builderscon/tokyo/2019/session/c68ed2e4-f3ef-46ad-908a-9e8b3e5dcb9b
はじめに Linuxの良い所の一つにsuやsudoと言った特権管理の仕組みがあります。普段は通常アカウントで入って、例えばインストールなどの特権作業が必要な時だけsu/sudoで一時的な権限昇格が可能ですし、/etc/pam.dで誰がどのユーザにスイッチ出来るかなどは細かく制御できます。 一方で、クラウドの権限管理は悩みの種で、誤操作が怖いので普段はRead Onlyの権限にしておきたいのですが、手軽に権限を昇格する方法がありません。なので、別の管理者ユーザを作って、そちらでログインしなおしたり、それを半自動化するCyberArkやBeyondTrustといったPAM系ソリューション、あるいは最近流行りのCIEM(PAM機能を持つもの)を導入する必要がありました。 Azureでは結構以前からPIM(Privileged Identity Management)がネイティブで組込まれており非
Hands-on with the new iPad Pro M4: Absurdly thin and light, but the screen steals the show
パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 ペッパー(pepper)というのは、ハッシュ計算前のパスワードに付与する秘密かつ固定のソルトのことです。ペッパーの機密性が保たれている限り、ハッシュ値からパスワードを復元することも、パスワードのハッシュ値(アプリ側で受付られるもの)を計算することもできません。 また、この問題の先行問題の知識も必要ですので以下の記事(および問題)も読んでおいたほうがよいでしょう。 さて、このペッパー付きの問題も多くの方に記事を読んで頂き、また解答もいくつかいただきましてありがとうございます。 出題時の以下条件を満たす想定解答を2種類(細かく分けると3種類)紹介します。 できればブラックボックス(つまりソースコードやテーブル定義を見ない)で解く ペッパーは覗き見してはいけない sqlmap等のツールは使っても良い s
富士通が運営するプロジェクト情報共有ツール「ProjectWEB」が不正アクセスを受け顧客の情報が流出した問題で、同ツールに多要素認証(MFA)が実装されていなかったことが日経クロステックの取材で2021年8月20日までに分かった。 日経クロステックが入手したProjectWEBの「利用者操作手引き」によると、システム開発などに関する重要情報を保存・共有するツールにもかかわらず、インターネット上に公開したログイン画面からIDとパスワードだけで容易にアクセスできる状態で運用していた。さらに富士通は複数の被害顧客に対し、「IDとパスワードが流出した経緯は依然として特定できていない」と説明していることも明らかになった。 ProjectWEBはシステム開発などのプロジェクトにおいて、社内外の組織でインターネットを介して情報を共有するためのツール。もともとは社内向けツールとして1998年に開発され、
ソフトバンクグループ(SBG)は、4月6日からパスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止する。セキュリティ強化が目的で、同日午後3時以降は、メール本文のみ受信し、添付ファイルはフィルタリングの時点で自動削除。受信できないようにする。PPAPはセキュリティ上の課題が多いとされ、内閣府や一部の民間企業で廃止する動きが出ている。 対象は正社員約240人と契約社員、アルバイト。今後は各部署や取引先企業と協議しながら、共有ストレージサービスなどへの移行を順次進める方針で、同社は「当社従業員のメールアカウントが、パスワード付き圧縮ファイルを添付したメールを受信した場合、全ての添付ファイルが削除され、メール本文のみが受信者に届くようになる。送信者には削除通知が送信されないため、当社担当者(受信者)とファイル授受の方法を確認してほしい」と呼び掛けている。2月
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AWS IAM PolicyのForAllValuesを勘違いしてた件 - LayerX エンジニアブログ
Apple、パスワード不要となる新しいパスキー機能を開発 - こぼねみ
「Microsoft Authenticator」が住所と支払い情報の自動入力に対応 ~Edge、公式Chrome拡張とも連携/iOS/Android対応の認証・パスワード管理アプリ
GCP の Compute Metadata Credentials について
世界中で攻撃を受けるMicrosoft SQL Server、パスワードの見直しを
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題
Slackで認定されたURLリンク偽装の脆弱性
パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動
Amazon、WebとiOSで「パスキー(passkey)」サポート Androidも間もなく
aws-vault についてのあれこれ - Qiita
漏えいデータから分析、業界別“ガバガバパスワード”集 海外セキュリティ企業が公開
50万個超の「Zoom」アカウントがダークウェブで販売中--パスワードの使い回しは危険
ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」
【Tips】Wi-FiパスワードをQRコード化して簡単にシェアする方法 - iPhone Mania
腐女子特化SNS「ピクブラ」に不正アクセス メアド・パスワード流出か
安全なパスワードの長さは?その質問自体が間違っているかも
セブン&アイの7payはなぜサービス終了に至ったか、「失敗学」の方法で分析した
Help users change passwords easily by adding a well-known URL for changing passwords | Articles | web.dev
覚えやすく強いパスワード作成の極意、日本語フレーズを語呂合わせで変換する
Azure AD のセキュリティを強化するために今すぐできること (Quick Win)
不正アクセスによる情報流出に関するお知らせとお詫び | リコーグループ 企業・IR | リコー
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
Microsoft自身が提供 ~「Edge」の保存パスワードを「Chrome」で利用可能にする拡張機能/「Authenticator」モバイルアプリと組み合わせれば、ほぼすべての環境でパスワードを同期できる【レビュー】
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
Google Drive上に暗号化して保存するパスワードマネージャ「Drive Password」
クラウドでもsuが出来る! GCPにPAM(特権管理)がついに登場
Engadget | Technology News & Reviews
情報流出を招いた富士通「ProjectWEB」は多要素認証なし、難航する原因特定
ソフトバンクG、パスワード付きZIP廃止 本文のみ受信、添付ファイルは自動削除
【Ubuntu日和】 【第22回】強固なパスワードと二要素認証でUbuntuのセキュリティをさらに高めよう
