)
PPAP (セキュリティ) - Wikipedia
PPAP(ピーピーエーピー)はコンピュータセキュリティの手法の一つ。 名称[編集] 「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 具体的な方法[編集] PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワ
はじめに こんにちは、サイボウズ24卒の@yuasaです。 サイボウズでは開発・運用系チームに所属する予定の新卒社員が研修の一環として、2週間を1タームとして3チームの体験に行きます。新卒社員の私が生産性向上チームの体験に行った際に、チーム内でGitHub Actionsを利用する際の脅威と対策について調査を行い、ドキュメント化した上で社内への共有を行いました。本記事では、そのドキュメントの一部を公開します。 対象読者 本記事の主な対象読者としては、以下のような方を想定しています。 GitHub Actionsを組織で利用しているが、特にセキュリティ対策を実施していない方 GitHub Actionsを組織で利用しており、部分的にセキュリティ対策を実施しているが、対策が十分かどうか分からない方 本記事がGitHub Actionsのセキュリティ対策を検討する上で参考になれば幸いです。 本記
パスワードがハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 まず、多くの方に記事を読んで頂きありがとうございます。解答もいくつかいただきましたが、その中で、以下のhm323232さんの解答は非常に優れたもので、これに付け加えることはほとんどありません。 しかし、気を取り直して、解答を書きたいと思います。 まず、ログイン処理の中核部分は以下に引用した箇所です。 $sql = "SELECT * FROM users WHERE userid = '$userid'"; $stmt = $pdo->query($sql); $user = $stmt->fetch(); if ($user && password_verify($password, $user['password'])) { echo "ログイン成功:" . htmlspecialchars(
ABEMA weber 勉強会 2021/06/30, 07/07 --- @uenitty 本当にあったモーダルの怖い話 ABEMA weber 勉強会 2021/06/30, 07/07 背景と目的 2 • モーダルに驚くほど苦しめられたので、状況を説明して改善方法を提案する • OOUIの特徴のうち「操作性 / 使いやすさ」についての説明はよく見かける ので、今回は「開発効率 / 作りやすさ」の方に重点を置いて説明する • 「モーダルの方が実装が楽なのかと思っていた」というデザイナーの声が あったので、職種関係なく理解してもらえるような説明を試みる 内容 3 • 前提の認識合わせ • 本当にあった話 • 改善に向けて 既存のUI設計 4 前提の認識合わせ 「手続き」を完了させたい 5 • ビジネス要求 • 重要な「手続き」は開始したら迷いなく完了してほしい • 手続きの例 • アカウ
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。新たにGoogleのログインシステムがパスキーに対応してパスワード不要でログインできるようになったので、実際にAndroidスマートフォンやiPhoneを用いてGoogleにログインする手順を確認してみました。 Passkeys: What they are and how to use them https://blog.google/technology/safety-security/the-beginning-of-the-end-of-the-password/ ・目次 ◆1:パスキーでのログインを有効化する手順 ◆2:Androidスマートフォンを使ってGoogleにログインする手順 ◆3:iPhone
凄まじいパスワード管理法として「ログインするたびに毎回パスワード再発行する」という豪気なのを聞いた「ロックされる可能性も」
noon🐥 @noonworks 凄まじいパスワード管理法として「登録時にランダム文字列をパスワードにし、どこにも記録しない。ログインするたびに毎回パスワード再発行する」という豪気なのを聞いたことがあります 2023-08-16 00:42:18
総務省|テレワークにおけるセキュリティ確保
2023年10月17日 中小企業等担当者向けテレワークセキュリティの手引き(チェックリスト)【設定解説資料】の更新を行いました。 企業等がテレワークを実施する際のセキュリティ上の不安を払拭し、安心してテレワークを導入・活用いただくための指針として、テレワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した「テレワークセキュリティガイドライン」を策定・公表しています。 テレワークセキュリティガイドライン(第5版)(令和3年5月) テレワークセキュリティガイドライン 改定概要 ※本ガイドラインについてURLで紹介いただく場合は、PDF直接ではなく、次のURL(本ぺージ)を案内いただけますようお願いいたします。 https://www.soumu.go.jp/main_sosiki/cybersecurity/telework/ <改版履歴:報道資料へのリンク> 初版:平成16
広野 萌 on Twitter: "パスワードフォームのUIとインタラクションについて考える度、わりと毎回同じ結論・同じ仕様にたどり着くので、デザインするとき自分が正解としていること9点まとめてみた。みんなで車輪の再発明やめよ〜!(以下ひとつずつ解説) https://t.co/2S3PlFeQzC"
パスワードフォームのUIとインタラクションについて考える度、わりと毎回同じ結論・同じ仕様にたどり着くので、デザインするとき自分が正解としていること9点まとめてみた。みんなで車輪の再発明やめよ〜!(以下ひとつずつ解説) https://t.co/2S3PlFeQzC
[追記] 2022/8/4 に Twilio がフィッシング攻撃で顧客データを漏洩しました。これが下で説明していたデータを預けるリスクです。 クラウド電話APIサービスのTwilioにフィッシング攻撃で顧客データ漏えい - ITmedia NEWS クラウド電話APIサービスを手掛ける米Twilioは8月7日(現地時間)、4日に「高度なソーシャルエンジニアリング攻撃」を受け、一部の顧客アカウント情報に不正にアクセスされたと発表した。 最近驚いたのですが、どうもセキュリティ・プライバシーを重視する人たちは Twilio Authy から他のワンタイムパスワード(TOTP [Time-based One Time Password])ツールに移行しているようです。 TOTPは多要素認証としてよく使われるようになってきています。Google は2要素認証(2段階認証)によってアカウントへの侵入が
ある日,HTML5のLocal Storageを使ってはいけない がバズっていた. この記事でテーマになっていることの1つに「Local StorageにJWTを保存してはいけない」というものがある. しかし,いろいろ考えた結果「そうでもないんじゃないか」という仮定に至ったのでここに残しておく. 先の記事では,「Local StorageにJWTを保存してはいけない」の根拠として「XSSが発生した時,攻撃者がLocal Storageに保存したJWTを盗むことが出来てしまう」といったセキュリティ上の懸念事項が挙げられていた. これに対し,クッキーを用いたセッションベースの認証では,セッションIDをクッキーに保存する.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生しても攻撃者はセッションIDを読み取ることが出来ない. 一見すると,これは
ラズベリーパイを使ったIoTシステムに脆弱性があると指摘があったためセキュリティ対策を施した話 - West Gate Laboratory
概要 先日のブログで記事を書いた、ラズベリーパイを使って作ったIoTシステムに「脆弱性がある」と指摘を受けたので、素人ながら調べつつ最低限のセキュリティ対策を施した話。 westgate-lab.hatenablog.com (ちなみに、上の記事ははてなブログの週間ランキング2位になってしまった) 今週のはてなブログランキング〔2020年2月第1週〕 - 週刊はてなブログ 背景 先日上記のブログ記事を公開したところ、「システムに脆弱性がある」という指摘を多々頂いた。システムというのは、「ラズベリーパイでインターホンを監視して、呼出音を検知したら条件に応じて解錠ボタンを押す」というものである。 もともとは、予定された配達か否かで2通りの解錠方法を考えていた。 予定された配達の場合(廃止済み) 予定していなかった配達の場合(現行版は常にこれ) 受けた指摘は主に2つ。 もともと予定された配達時間
日本人が使いがちなパスワードは何だか分かるだろうか。ソリトンシステムズは2020年に発覚した232件の情報流出事件を分析し、日本人と思われる利用者が設定していたパスワードの種類と数を集計した。 その結果、最も多かったのは「123456」。これは世界中で「最悪のパスワード」として知られており、日本人ならではの結果ではなかった。 だが、もう少し下位に目を向けると「ならでは」の文字列が登場する。例えば11位は「jza90supra」。これは他社が公開する世界ランキングでは200位にも入っていなかった。一体、この文字列は何なのだろうか。 JPドメインのパスワードを抽出 みんながどのようなパスワードを使っているのかは気になるところだが、直接聞いて回るわけにはいかない。そこで以前から、セキュリティー企業などはインターネットに流出したパスワードを分析することで、パスワードとしてよく使われる文字列を調べて
パスワードやアクセスキーなどの重要なデータは「ハッシュ関数」で一方向の変換を行うことで、漏えいの被害を最小限に抑えることができます。しかし、パスワードとハッシュ値の組み合わせを記録したレインボーテーブルによって、ハッシュ値からパスワードを解析される攻撃を受ける危険性もあります。そんなレインボーテーブルの仕組みについて、ソフトウェアエンジニアのKestas "Chris" Kuliukas氏が図解しています。 How Rainbow Tables work http://kestas.kuliukas.com/RainbowTables/ ハッシュ関数は文字列を別の文字列に変換することができる関数で、変換前の文字列から変換後の文字列を計算することはできますが、変換後の文字列から変換前の文字列を計算することはできません。変換前の文字列は「平文(Plaintexts)」、変換後の文字列は「ハッシ
おじいちゃんのスマホ操作を見ながら感じた認証のあり方について - freee Developers Hub
こんにちは。認証認可基盤エンジニアのてららです。 最近好きな言葉はコンフォートゾーンです。好きな食べ物はニンジンです。 猫派です。 経緯 週末、パートナーが祖父母の家に帰るということで付き添いをしてきました。 その1つの目的としてパートナーの祖父(以下、おじいちゃん)がスマートフォンを利用していたのに急にスマホアプリから認証を求められて困っている、とのことでそれの解決をしていました。 「なんとか出来ないかねぇ」ということでパートナーがおじいちゃんのスマホを触りながら操作方法を教えつつ、認証情報を探しておじいちゃんに手解きしている様子を眺めていました。 その時、“ログイン”や“ユーザーID”、知識認証情報を紙に記してその紙の管理をしていたところからこのアプリは何をしたかったのか、おじいちゃんが苦労せずにアプリを触るためにはどうあるべきなのかをずっと考えていました。認証認可基盤のエンジニアとし
アプリケーションが想定しない文字列を実行することにより、データベースを不正に操作する攻撃はSQLインジェクションと呼ばれ、攻撃によってクレジットカード情報や住所などの重要な個人情報が流出した事例も存在します。「Lord of SQLInjection」は、そんなSQLインジェクションを駆使してダンジョンを攻略していくウェブサイトです。 Lord of SQLInjection https://los.rubiya.kr/ まずはLord of SQLInjectionにアクセスして「[enter to the dungeon]」をクリック。 Lord of SQLInjectionを利用するのは初めてなので「Join」をクリック。 Lord of SQLInjectionで使用するID、メールアドレス、パスワードを入力して「Join」をクリックします。 先ほど登録したIDとパスワードを入力
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う
iPhoneやApple Watchを襲う「MFA爆弾」相次ぐ パスワードリセット通知を大量送付、乗っ取りを狙う:この頃、セキュリティ界隈で 他人のiPhoneやApple Watchを狙ってパスワードのリセット通知を大量に送り付けるフィッシング詐欺攻撃が相次いで報告されている。「MFA爆弾」「MFA疲労」(MFA:多要素認証)と呼ばれる洪水のような通知は一度始まったら止める術がなく、Appleを装う相手にだまされてアカウントを乗っ取られる恐れもある。 「私のApple端末が全て、パスワードリセット通知で爆破された。Appleのシステム(を装った)通知(原文は「Apple system level alerts」)だったので、100件以上の通知で『許可しない』をクリックするまで、電話もウォッチもラップトップも使えなくなった」 大量の通知から15分ほどすると、今度はAppleのサポートをかた
複雑なビジネスルールに挑む:正確性と効率性を両立するfp-tsのチーム活用術 / Strike a balance between correctness and efficiency with fp-ts
2020年2月29日の技術書典8に発表予定だったAWSのアカウントセキュリティ本こと、『AWSの薄い本Ⅱ アカウントセキュリティのベーシックセオリー』の執筆が完了し、BOOTHで販売開始しました。 内容 書名のとおり、セキュリティがテーマです。そしてただのセキュリティを題材にすると、いろいろな方面からまさかりが飛んできそうなので、AWSのアカウントセキュリティと限定しています。で、アカウントセキュリティとはなんぞやという話ですが、前作ではAWSを扱う上での認証認可のサービスであるIAMをテーマにしていました。ここをしっかりしていると、ことAWSのアカウントまわりという点では6〜7割くらいはカバーできているのではと思っています。一方で、長く使っていると気が付かぬ穴や、複数人で使って誰かがやらかす人も出てくる可能性があります。この辺りを仕組みとしてカバーできるようにしようというのが、今回のアカ
Professor at Colledge of Information Science and Engineering, Ritsumeikan University
DropboxやGoogle Driveといったクラウドストレージにアップロードしたデータを共有する場合など、URLを誰かに伝えることは日常的な行いです。無料で公開されているオープンソースサービス「Link Lock」を使うと、簡単にURLにパスワードをかけることができます。 Link Lock - Password-protect links https://jstrieb.github.io/link-lock/create/ GitHub - jstrieb/link-lock: Distributed application to password-protect URLs using AES in the browser https://github.com/jstrieb/link-lock さっそくウェブサイトにアクセスすると、URLやパスワードを入力する画面が表示されます。
皆さん、IAM使ってますか〜? 今日は、IAMのベストプラクティスの中に呪縛のように存在する、最小権限をテーマに悩みを語ってみようと思います。 IAMでのセキュリティのベストプラクティス まずは、IAMのベストプラクティスの確認です。2020年7月現在では、17個存在しています。一番最後のビデオで説明するの唐突感以外は、どれも納得感がある内容で実践・遵守すべきです。 docs.aws.amazon.com AWS アカウントのルートユーザー アクセスキーをロックする 個々の IAM ユーザーの作成 IAM ユーザーへのアクセス許可を割り当てるためにグループを使用する 最小権限を付与する AWS 管理ポリシーを使用したアクセス許可の使用開始 インラインポリシーではなくカスタマー管理ポリシーを使用する アクセスレベルを使用して、IAM 権限を確認する ユーザーの強力なパスワードポリシーを設定
Malwarebytesは5月18日(米国時間)、「KeePass vulnerability allows attackers to access the master password」において、KeePassに重大な脆弱性があるとして、注意を呼び掛けた。脆弱性が悪用された場合、マスターパスワードにアクセスされる危険性があるとされている。 KeePass vulnerability allows attackers to access the master password KeePassは無料のオープンソースのパスワードマネージャー。パスワードを暗号化された形で保存する機能が提供されている。KeePassはデータベース全体を暗号化するため、パスワードだけでなく、ユーザー名、URL、メモなどの情報も暗号化される仕組みとなっている。 このパスワードマネージャに深刻な脆弱性があることがわか
Firebaseのセキュリティルールの設定を誤っていることが原因で数百のサイトが平文パスワードや機密情報を含む合計1億2500万件のレコードを公開してしまっているとセキュリティエンジニアの「Logykk」「mrbruh」「xyzeva」という3人がブログに投稿しました。 900 Sites, 125 million accounts, 1 vulnerability - env.fail https://env.fail/posts/firewreck-1/ セキュリティエンジニアの3人はChattr.aiというサービスでFirebaseの設定が間違っていることを発見しました。Chatter.aiではウェブサイト上の正規ルートで登録するとアカウントの権利が適切に制限されるものの、FirebaseのAPIを直接使用してアカウントを作成するとFirebase上のデータベース全てに対する権限が取
【はじめに】この記事はBaaaaと何の関係もないただの学生(25卒)が執筆しています。 【Baaaaとは】カメラで現実世界を写すことで絵文字が生成され、それをコレクションしたり、レコードに載せて音楽を奏でられるアプリ。他の人のレコードを回したりスクラッチしたりとSNS的な側面も持つ。 日本企業のwedが制作しており、同社はONEというレシート買取サービスも開発している。 【感動した5ポイント】1.UIのサイズが激しく変化する下部にあるフッターナビゲーションの大きくサイズが変化するボタンを見て欲しい。選択されている場所を色、サイズ、テキストで強調できており、分かりやすい。また、指からはみ出すアニメーションはダイナミックでワクワクする。 フッターナビゲーションそして、一体感がすごい。フッターナビゲーションを左右にスワイプすることによって、指、ボタン、中央画面が全て同じ方向に動く。まるで指で引っ
iPhoneにApple IDのパスワードリセットを求める通知を連続送信してApple IDを奪い取る攻撃手法の存在が確認されました。攻撃者は「Apple公式サポートを装った電話」も併用しているとのことです。 Recent ‘MFA Bombing’ Attacks Targeting Apple Users – Krebs on Security https://krebsonsecurity.com/2024/03/recent-mfa-bombing-attacks-targeting-apple-users/ Last night, I was targeted for a sophisticated phishing attack on my Apple ID. This was a high effort concentrated attempt at me. Other fo
iPhone画面ロックやApple IDロックなどを安全に解除「AnyUnlock」 - iPhone Mania
iPhoneの画面ロック、Apple IDに必要なパスコードを忘れてしまった時に役立つツール「AnyUnlock」が、iOS15に対応、新機能が追加されました。 今回はiMobie様からご提供頂いたテスト用アカウントを使い、iPhone Xの画面ロック解除を試してみました。 AnyUnlockとは? AnyUnlockは、iPhoneのパスコードを忘れ、何度も間違えて入力してしまった場合、あるいは画面が割れてFace IDやTouch IDが機能しなくなり、パスコードも入力できないといったトラブルに見舞われたとき、ロック解除をしてくれるツールです。 4桁/6桁の数字コードも、カスタム数字コードも、カスタム英数字コードも、Touch IDまたはFace IDも、AnyUnlockは問題なく解除してくれます。 Apple IDも削除できる Apple IDのパスワードを忘れてしまうと、App
パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵
パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass breach explained | Almost Secure https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。 声明内容にも1段落目から厳しい目を向けています。LastPassは「透
オンラインメモサービス「Evernote」は4月27日12時30分(日本時間)、日本法人の閉鎖と、その理由に関して明らかにした。Evernote公式Xアカウントによれば、閉鎖は組織再編の一環。利用者への「実質的な影響はない」としている。 →Evernote日本法人の解散、「アプリ終了」との誤解につながる サービス改悪、告知不足がユーザー離れに拍車 Evernoteの日本法人、エバーノート(東京・中央区)は、法律、政令などの広報に利用される官報で、解散を公表していたが、日本法人によるユーザーへの告知がなかったことから、Xでは一部のユーザーが「サービス終了なのか?」「使えなくなるのではないか?」などと投稿していた。 こうした事態を受け、Evernote公式Xアカウントは「日本国内のお客様はこれまでと同様にEvernoteのご利用が可能です」と案内。この混乱の火消しに動いた。 一方で、Xに投稿さ
ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出してみたをやってみます。 講演内容 (省略) 今回の内容です。コンシューマ向けサービスにおけるこれまでの認証方式を振り返り、最近話題のパスキーとはどういうものかを紹介します。そして、実際に導入を検討する際に考えるべきポイントをいくつか紹介できればと思います。 早速、これまでのユーザー認証について振り返りましょう。 最初はパスワード認証です。知識要素を利用する認証方式であり、ユーザーとサービスがパスワードを共有します。 このパスワード認証を安全に利用するために、ユーザーとサ
強いパスワードを作成するアプリを作りましたが、実際現代のパソコンでパスワードを突破するのにどの程度の時間がかかるか検証してみました。 手頃で高速でマルチコアに強そうという理由でGo言語を使ってみた結果、1秒間に18万パスワードをトライできる性能となりました。数字7桁のパスワードなら1分、8桁でも遅くとも10分で突破できます。 パスワードトライ中、全CPUフルに使い切ってます! goルーチンを使って、1,2,3,4,5・・・と増やしてみたところ、Core i5の2コア4ハイパースレッディングでは、3が最も速いという結果となりました。ただ、最速でも1スレッドの2倍弱にしかなりませんでした。 そもそも、今回のプログラムは無駄が多いので、パスワードトライに特化してメモリの動的確保を0にすれば、更に10倍くらい速くもできるはず。 GPUをうまく使えば、飛躍的な高速化ができるかも? アルファベット小文
米国当局、UPSをインターネットから外すよう呼びかけ
米国土安全保障省サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA: Cybersecurity and Infrastructure Security Agency)とアメリカ合衆国エネルギー省(DOE: United States Department of Energy)は3月29日(米国時間)、「CISA INSIGHTS - Mitigating Attacks Against Uninterruptible Power Supply Devices」において、無停電電源装置(UPS: Uninterruptible Power Supply)の管理インタフェースをインターネット接続から外すように呼びかけを行った。 最近のUPSはネットワークから利用するための管理インタフェースを備えている。しかし、これがサイバー攻撃の標的になっているという。標準のユーザー名および
ハッカーによって32億件ものアカウント情報がネット上に公開されたとcybernewsが報じた。 人気の高いハッキングフォーラムで公開された“Compilation of Many Breaches”(略称:COMB)と名前が付けられているデータベースには膨大な数のメールアドレスとパスワードのセットが含まれているとのこと。 公開されたデータは新たに流出したものではなく過去に流出したアカウント情報を集めたものだが、不正ログインが可能な有効なものも含まれている。 COMBの公開から3日後に、何者かがアメリカ・フロリダ州の水処理場の管理システムに侵入し、人体に害を及ぼす恐れのある水酸化ナトリウムの濃度が一時的に通常の100倍以上に設定された事件が発生。ハッキングされた水処理場のアカウント情報もCOMBには含まれていたという。 2段階認証で対策を cybernewsによると、COMBにはNetfli
お年寄りのパスワード設定に付き合ったらめちゃくちゃ大変だった話
如月 宗一郎 @S_kisaragi Reserve Candidate上がりの林業作業者。1980年に生まれて2003年卒という、Lost GenerationからついにAbandoned Generationになった地方都市民。当地の林業では、年間最大で193人に1人が死ぬ世界なので、急にツイートが止まる可能性あり。ねご探し中。 twilog.org/S_kisaragi 如月 宗一郎 @S_kisaragi 年寄りのパスワード設定に付き合っているのだが… 「アルファベットで入力してください」 「数字?」 「アルファベットですよ」 「数字?」 とこのような感じに。(そりゃ携帯ショップのコストだだ上がるわ) 2021-05-24 10:28:42
狙われるOffice365アカウント。パスワードスプレー攻撃の脅威(大元隆志) - エキスパート - Yahoo!ニュース
日本国内でもOffice365の採用が進んでいるが、それに比例するように「Office365に対して不正アクセスを受けた」という相談も増加している。昨年もOffice365を採用した大学で不正アクセスが相次ぎ文科省が注意喚起を行う事態となっていた。 ■Offie365が狙われる背景では、何故Office365が狙われるのか?筆者の見解を述べたい。 1.サイバー攻撃者にとって貴重な資産がOffice365へ移動 Office365はExcelやWordといったオフィス文書を作成するアプリケーションからメール配信まで提供する。企業内で作成されるオフィス文書の大半を保管することになる。サイバー攻撃者にとってOffice365は「データの金庫」と言えるだろう。 2.ログイン画面までは、誰でも到達可能 Office365はデータの金庫だが、ログイン画面はクラウド上に存在しているため、金庫の目の前まで
今後、Webサービスから「パスワード」がなくなるかもしれない。というのは、ここ2年ほどで「パスキー」と呼ばれる、スマホやPCのセキュリティ領域に保存した暗号鍵を用いた、より簡単かつ安全な認証方式が普及しつつあるからだ。 「パスキー」を採用したWebサイトが急激に増加している。暗号鍵とスマホやPCの生体認証ロックを用いた認証方式で、脆弱(ぜいじゃく)性が問題となっているパスワードの置き換えを目指す 例えばドコモ利用者なら、dアカウントでパスキーを使い始めた人もいるだろう。また、「生体認証」という名称でauやメルカリ、Yahoo!JAPANなどのログイン時にもう利用しているかもしれない。 ここ2年でパスキーに注目が集まったのは理由がある。2022年5月にApple、Google、Microsoftの3社が、FIDOアライアンスとW3Cが策定した「パスキー(Passkeys)」への対応を発表した
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub Actionsにおける脅威と対策まとめ
本当にあったモーダルの怖い話 / Terrifying Nonfiction of Modal
Googleがパスワード不要でログインできる「パスキー」に対応したのでiPhoneとAndroidスマホで試してみた
パスワードビューワ「ミルパス」に脆弱性、物理アクセスでパスワード窃取可能。使用中止呼びかけ
「Amazon」でパスワードレス認証「パスキー」が利用可能に ~顔や指紋で簡単ログイン/手軽、安全、使いやすい次世代ログイン方式
認証アプリ「Authy」の安全性を危惧する声。何が問題なのか。Authyに登録したトークンをエクスポートして移行する方法
おーい磯野ー,Local StorageにJWT保存しようぜ!
日本人が使う最悪パスワードのランキング、上位に食い込む「jza90supra」の正体
パスワード解析などに使われる「レインボーテーブル」の仕組みとは?
ダンジョンを攻略しつつSQLインジェクションの脆弱性について学べるサイト「Lord of SQLInjection」
これは分かりやすい、「パスワードが破られるまでの時間」を条件別でまとめたチャート【やじうまWatch】
Zero Trust上から見るか?下から見るか?
AWSのアカウントセキュリティ本を書きました #技術書典 - プログラマでありたい
PPAPを何とかしたいがPHSも何とかしたい(PDF版)
無料&超簡単にパスワード付きのURLを作成できるオープンソースなウェブサービス「Link Lock」レビュー
AWS IAMの最小権限追求の旅 - プログラマでありたい
KeePassに重大な脆弱性、マスターパスワードが盗まれる恐れ
数百サイトがFirebaseのセキュリティルール設定を誤って合計1億2500万件の機密情報が公開されてしまっていた
おもちゃ箱のようなアプリBaaaaのUI/UXが凄すぎた件|Yusui Hoshino
iPhoneに本人確認通知を連続送信してApple IDを奪い取る攻撃手法が報告される
Evernote、サービス継続を発表 日本法人の閉鎖で混乱 火消しに動くも、移行先に「Notion」選ぶ声
Developers Summit 2023にてパスキーについて講演しました
個人情報保護委員会が公開の研修資料、「パスワードの定期的な見直し」にツッコミ相次ぐ【やじうまWatch】
パスワード付きZIPファイルの有効性検証! Go言語を使ったマルチコア対応パスワードチャレンジプログラム
史上最大、30億超のメールアドレスとパスワード公開。Netflix等の過去流出集
実装に1年、「KeePassXC」が待望の「パスキー」対応 ~フリーのパスワード管理アプリ/v2.7.7がリリース
スマホの新認証方式「パスキー」を徹底解説 今後は“パスワードレス”が当たり前に?