安全ではない「多要素認証」 5つの攻撃手法と防御策
多くのサービスや業務システムで多要素認証が広く使われている。キーマンズネットが実施した「ID/パスワードに関するアンケート」では、回答者の半数以上が「多要素認証を採用している」と回答した(2024年2月時点)。パスワードと比較してよりセキュアなログインが可能になるからだ。 だが多要素認証をただ導入しただけでは、安全を保つことができない。実際に2022年以降、多要素認証を突破する攻撃が急増しており、全世界で月間200万件以上の事例が報告されている。 多要素認証を安全に使う方法、攻撃に対応する方法を把握し、従業員がそれを理解して実践することが重要だ。 本ブックレット(全17ページ)では、多要素認証を突破する攻撃手法とそれを防ぐ方法、攻撃事例、多要素認証を導入する際に留意すべきポイントを紹介する。
Amazon Web Services(AWS)は、パスキーがAWS Identity and Access Management (AWS IAM)の多要素認証として利用可能になったことを発表しました。
2020年、コロナのまん延によって、会社は在宅ワークを勧めざるを得ない状況となりました。 テレワークの普及により、クライドサービスの利用が拡大しました。 クラウドサービスを利用すると、インターネットに接続できる場所なら、どこからでも業務に必要なデータにアクセスできます。自宅やカフェなど、オフィス以外の場所でも効率的に仕事を進められます。 一方、ログイン認証の視点から、クラウドサービスの利用は致命的な弱点があります。 サービスの利用にあたって、簡単に推測できるパスワード(例:123456、passwordなど)を使用すると、不正アクセスのリスクが高まります。攻撃者はネットを経由し、辞書攻撃やブルートフォース攻撃を仕掛けることで、利用者のパスワードを容易に盗むことができます。 テレワーク下で期待された防御策が「多要素認証」です。 多要素認証は、ユーザがシステムへのアクセスを許可する際に、複数の
Twilioは2024年7月1日(現地時間)、多要素認証(MFA)アプリの「Authy」の最新アップデートをリリースした。アップデートはAuthyの「Android」版および「iOS」版に対する修正が含まれている。 今回のアップデートは2024年6月下旬に発生したAuthyの脆弱(ぜいじゃく)性による3300万件以上の電話番号流出インシデントに対処したものとされている。漏えいした情報によって、SMSフィッシングやSIMスワッピング攻撃を実行される可能性があるため注意が必要だ。 3300万件以上電話番号流出を引き起こした脆弱性に対処 Twilioはコンピュータ情報サイト「Bleeping Computer」の取材に対し、認証されていないエンドポイントが原因で、Authyアカウントに関連付けられた個人データを攻撃者に特定されたと報告しており、直ちに対応を実施し、エンドポイントを保護する措置を講
AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します | Amazon Web Services
Amazon Web Services ブログ AWS はルートユーザーと IAM ユーザーにパスキー多要素認証 (MFA) を追加します セキュリティは Amazon Web Services (AWS) の最優先事項であり、6月11日、お客様の AWS アカウントのセキュリティ体制を強化するのに役立つ 2 つの機能をリリースします。 まず、ルートユーザーと AWS Identity and Access Management (IAM) ユーザー向けに、サポート対象の多要素認証 (MFA) のリストにパスキーを追加します。 次に、ルートユーザーに MFA を適用し始めました。最も機密性の高いユーザー、つまり AWS Organization の管理アカウントのルートユーザーから始めました。2024年の残りの期間中に、この変更を他のアカウントにも引き続き適用します。 MFA は、アカウン
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスキーがAWS IAMの多要素認証として利用可能に
ログイン認証の混乱(2) ~多要素認証とFIDO~ - 叡智の三猿
多要素認証アプリ「Authy」の脆弱性によって3300万件以上の電話番号が流出