はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
同氏によると、現在GitHubで2FAを使っているのは全アクティブユーザーの約16.5%のみ。傘下のnpmにいたっては、わずか6.44%のみという。 npmは2月、上位100のライブラリのメンテナに2FAを義務付けた。5月末までに上位500に拡大する計画だ。 関連記事 「ロシアをGitHubから切り離して」の意見に公式が返答 「私たちのビジョンは、全ての開発者のホームになること」 「GitHubからロシアを切り離して」──ロシアのウクライナ侵攻を受けて、このような件名の投稿がGitHub上に掲載された。さまざまな物議を醸したが、GitHubは「私たちのビジョンは、どこに住んでいても、全ての開発者のホームになることだ」と返答をした。 GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に GitHub傘下のパッケージリポジトリnpmは、上位100のライブラリのメンテナは2要素
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
FCC fines America's largest wireless carriers $200 million for selling customer location data
公式ドキュメントで説明されているけど、同僚に何度か説明する機会があったり、作る必要のないサービスアカウントキーを目にすることも多いのでまとめておく。 認証情報が登場しないアプリケーションコード 例えば以下のコードで Secret Manager に保存したトークンを取得することができる。SecretManagerServiceClient にサービスアカウントキーを渡さずとも動作する。 const {SecretManagerServiceClient} = require('@google-cloud/secret-manager'); const client = new SecretManagerServiceClient(); (async () => { const [secret] = await client.accessSecretVersion({ name: 'proj
はじめに AI搭載コードエディターCursorが話題なので自分にとって使いやすいのか実験してみました。 まだまだCursorの実験途中ではありますが、CursorProをサブスクしてたった3日でgpt-4に332回聞いてました。 Cursorはプロンプトの会話から現在のコードにDiffで提案してくれたり、エラーを解決してくれたり本当に便利で最高なのですが、頼り過ぎも良くないなと反省することもあったので、やったこと全部と感想をシェアしていきたいと思います。 やったこととしては、Cursorのチャットに質問しながら予備知識のないChatVRMというオープンソースのチャットアプリケーションの追加実装をしました。わりと簡単に実装できたこととうまくできなかったことがあるので例を挙げて紹介していきます。 Cursorとは Cursor(カーソル)とは、VScodeをフォークして作られたOpenAIのg
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、弊社がこれまでに実施してきたFirebase診断の事例や筆者独自の調査をもとに、Firebaseを活用して開発されたサービスにおいて発生しやすい脆弱性の概要やそれにより引き起こされるリスクおよびその対策を深刻度や発生頻度の評価を踏まえつつお伝えします。本稿を通じて、Firebaseを活用したサービスにおいて発生しやすい脆弱性にはどのようなものがあるのか、また、そのような脆弱性を埋め込むことなくセキュアなサービス実装を実現するためにはどのような観点に気をつければよいのかについて理解を深めていただけますと幸いです。 なお、本稿では「Firebase活用時に限って発生しうる脆弱性(例:Firestoreのセキュリティルールにおけるバリデーション不備)」と「Firebaseを活
[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題
By Artur Oleyarsh January 10, 2023 at 12:33 AM Category: Cloud, Vulnerability Tags: CVE-2022-23529, exploit, open source, Prisma Cloud, remote code execution, Vulnerability Exploitation 2019年1月30日 PST 本脆弱性の悪用シナリオの前提条件に関するコミュニティからのフィードバックを受け、私たちはAuth0と協力してCVE-2022-23529を撤回することを決定しました。 本稿で解説したセキュリティの問題はJsonWebTokenライブラリが安全でない方法で使用された場合には依然として懸念されるものです。そのシナリオでは、すべての前提条件を満たせばこの問題を悪用できる可能性があります。私たちは、その
![[2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題](https://cdn-ak-scissors.b.st-hatena.com/image/square/d5fd8fbb78690994f0d69b816752b350c4fdb30b/height=288;version=1;width=512/https%3A%2F%2Funit42.paloaltonetworks.jp%2Fwp-content%2Fuploads%2F2023%2F01%2FCloud-providers.png)
はじめに NearMeでは最近、相乗り配車サービスのための外部向けAPIプラットフォームを構築しました。 これにより、他アプリからシームレスに注文したり、Lineミニアプリのような新しいチャネルのUIを独自に構築することを可能にしました。 その設計においては様々な考慮が必要でしたので、ここにまとめたいと思います。 提供方法 APIを利用するにはまず、外部連携先の"組織"を作成し、登録した"組織"で「〇〇 地域シャトル」「〇〇スクール送迎」などの"サービス"を作成します。これにより、ユーザー管理、車両管理、注文管理などが管理画面から利用できるようになります。マルチテナント方式なので専用の"サービス"が構築されます。 次に、API連携に関する基本情報を格納する"アプリケーション"という項目を作成します。 認証情報やWebhookのURLなどもここで設定します。 この"アプリケーション"のIDが
送信ドメイン認証の現状
2019/09/07 DNS温泉6 in 下呂 で利用したスライドです。 内容的にマズい部分は改変してあります。 時間的に古いものですので、現在と相違がある部分もあります。
米Twitterが2月に発表した、SMSを使った2要素認証をサブスクリプションサービス「Twitter Blue」ユーザー限定にする措置。同社は無料ユーザーに対し設定を削除するようにアプリ内で案内していたが、その期限が迫っている。 Twitterは設定を削除していない無料ユーザーに数日前から再び告知を始めている。3月19日までを期限としており、まだ設定解除していないユーザーは急いだほうが良いだろう。同社は「Twitterにアクセスできなくなることを防ぐために」と案内しており、おそらく再ログインする際にSMSで送られてくるはずのコードが受け取れず、ログインができなくなるものと思われる。 2要素認証を今後も使いたいなら認証アプリを使おう なお、認証アプリやセキュリティキーなど、SMS以外の2要素認証については引き続き対応しており、今後も無料アカウントで2要素認証を利用したい場合は、「Googl
Twitterがサービス終了したらTwitter連携ログインしてるサービスが使えなくなる可能性があるので対策しておきましょう
noon🐥 @noonworks Twitterが死んだらどこに行くかもあるかもだけどまずはTwitter連携ログインしてるサービスをTwitter連携以外でログイン出来るように設定しておきましょうね 2022-11-18 13:07:04
Twitter、旧「認証マーク」は本人確認なしで誰でも購入可能に。著名人は新設の「公式マーク」で区別 | テクノエッジ TechnoEdge
Twitter は青い「認証マーク」を月8ドルの有料プラン Twitter Blue の特典として、本人確認なしで誰でも購入可能とすることが分かりました。 一方で、企業や公人、一部の著名人に対しては非売品の「公式」ラベルを新たに用意。なりすましや偽アカウントと区別できるようにします。 Twitter、月8ドルで認証マークの販売を開始「あなたもセレブや企業や政治家のように青いチェックマークが持てます」 著名人や企業、報道関係者などのアカウントに付く青い「認証マーク」(認証済みバッジ)は、従来は「プロフィールどおりの本人であることをTwitterが確認した」という意味。 原則的にはTwitter社が選別するもので、本人からの認証リクエストの場合は一定の基準をクリアする必要があります。 イーロン・マスク、Twitterの新課金プランは月8ドルと説明。認証マークつきで広告半減、リプ優先表示など T
Firebase Authentification は OAuth 2.0 フローにのっとったログイン方法以外にも Email/Password を使ったログイン方法も提供しています。 このログイン形式をちゃんと使おうとすると、これまでは Provider が担ってくれていたパスワードの編集、パスワードの再発行、メールリンクでのログイン、アドレスの本人確認など様々なことを考慮しなければいけません。 この記事ではそういった考慮をした Email / Password ログインに挑戦します。 基本的にはmanage-users, password-auth, email-link-authといった公式ドキュメントを読むと IPASS ログインに必要なことは書いてあるのですが、action URL を自前で用意するフローを採用するとそれらのドキュメントで賄えなくなり試行錯誤をたくさんしなければい
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア インターネットにおけるパスワードレスの実現を推進する「FIDO Alliance」は、 Apple、Google、マイクロソフトの3社が、同団体が推進するパスワードレス認証のサポートを拡大すると発表しました。 Today, we are excited to share that @Apple @Google @Microsoft are aligned with this vision and will be implementing multi-device FIDO credentials over the course of the coming year! https
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
はてなへのログインがパスキーと多要素認証に対応し、よりセキュアになりました - はてなの告知
2024/3/25 17:37 追記 Firefox と1Password の組み合わせを利用していた場合、パスキーの生成が失敗する不具合が発生しておりました。現在は修正済みです。ご不便おかけし申し訳ございませんでした。 本文 平素よりはてなをご利用いただきありがとうございます。 はてなIDが「パスキー」「多要素認証」を利用した認証に対応しましたことをお知らせいたします。 また、本対応に合わせてアカウント関連の画面デザインをリニューアルいたしました。 パスキーとは パスキーとはお持ちのスマートフォン・PC・タブレット端末等に搭載されているロック機能を使用してウェブサイトやアプリにログインできる仕組みです。パスキーをご利用いただくことにより、パスワード認証時における第三者からの不正ログインやフィッシングなどのリスクの低減が期待できます。 パスキーの設定方法はこちらをご参照ください パスキーの
本記事は、2022年5月に開催されたTechFeed Conference 2022のセッション書き起こし記事「パスワードのない世界に向けて(えーじ) — TechFeed Conference 2022講演より」を転載したものです。オリジナルはTechFeedをご覧ください。 皆さんこんにちは。えーじです。今日は「パスワードのない世界に向けて」というお話をしたいと思います。 パスワードだけでは守りきれない世の中に 皆さんご存知のように、今多くのWebサイトはパスワードを使ったログインが主流です。 しかし、どんなに堅牢なシステムでも、ユーザーさんが弱いパスワードを作ってしまったり、同じパスワードを複数サイトで使い回してしまったり、フィッシングに引っかかってしまえばアカウントは乗っ取られてしまいます。 近年フィッシングが急増していることからもわかるように、パスワードだけのシステムでは守り
OAuthの言葉周りを整理する
OAuthの仕組みとToken認証周りの言葉はいつまで経ってもはっきり理解できないものの一つでした。 しかし最近ようやく理解できるようになってきたのでとりあえずそれぞれの言葉の指すものや定義をここで整理してみようと思います。 リフレッシュトークン リフレッシュトークンとは アクセストークンの有効期限が切れたときに、認可サーバーにアクセストークンの更新リクエスト認証をするためのトークン。 OAuth自体はリフレッシュトークンがなくとも実装できるが、リフレッシュトークンはOAuthをより便利にするためのもの。 一般的に有効期限は長い。 ないとどうなるのか アクセストークンの期限が切れたらその度にSNS認証のあのログイン画面に飛ばされてメアドとパスワードの入力が必要になる。 セキュリティに関すること 有効期限が長くても安全性に問題がないと考えられる理由としては、アクセストークンの期限切れ時にしか
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript)
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript) アプリケーションを開発するにあたって、避けて通れないのが認証機能の実装です。 本書籍では、NextAuth.js を使って Next.js で作成したアプリケーションに認証機能を実装していきます。さらに、認証情報を使って、表示するページの制御も行います。 認証情報によるページの表示制御にはいくつか方法がありますが、本書籍では NextPage 型を拡張した CustomNextPage 型を作成することによって、ページの表示制御を実現します。 一緒に NextAuth.js による認証機能を学んでいきましょう。
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与
AWSが「IAM Roles Anywhere」発表。一時的にAWSへのアクセス権をAWSの外側にあるワークロードに付与 Amazon Web Services(AWS)は、AWSの外側にあるワークロードに対して一時的にAWSリソースへのアクセス権を付与できる「IAM Roles Anywhere」を発表しました。 : Need to give workloads outside of AWS temporary access to AWS resources? Announcing IAM Roles Anywhere, allowing you to provide temporary AWS credentials to workloads outside AWS using the same IAM roles & policies you configured for your
ネットサービスのアカウントを作ろうとして、「セキュリティのために電話番号も入力してください」とのメッセージに遭遇したことがある人は多いはず。パスワードと電話番号に届いた認証コードの両方でログインする「2要素認証(2FA)」は強力なセキュリティとして重宝されていますが、ハッカーにとってはほとんど無意味だとセキュリティ企業が警鐘を鳴らしています。 Bypassing 2FA - Secret double octopus https://doubleoctopus.com/blog/threats-and-alerts/bypassing-2fa/ 企業向けのパスワードレス認証技術を手がけるDouble Octopusによると、そもそもパスワードを用いること自体が基本的に安全なものとは言えないとのこと。そのため、2FAを導入したログイン方法もその場しのぎの対処法に過ぎず、せいぜいパスワードだけ
AWSアカウント シングルサインオン構成のご紹介(電通デジタル自社開発部門 2020年上期版)|Dentsu Digital Tech Blog
電通デジタルでSite Reliability Engineer(SRE)をしている齋藤です。 先日(8/5)に7/22開催のAWS Black Belt Online Seminar「AWSアカウント シングルサインオンの設計と運用」の資料が公開されました。 資料中では以下の内容を説明しています。 ・AWSではアカウントに個別のIAMユーザを作成してログインする代わりに、IDプロバイダ(IdP)を使用し、シングルサインオンができること ・シングルサインオンは組織に独自のID基盤がある場合や、複数のAWSアカウントを使用している場合に有効であること ・シングルサインオンの実現の方法にはいくつかパターンがあり、運用をふまえながら何を選択するのがよいかであること 弊社の自社開発部署もAWSをマルチアカウント構成-シングルサインオンで運用しています。今回はその事例を上記資料の選定パターンチャート
2023/12/12 記事公開 2023/12/14 調査サービスの差し替え & コメント返信 はじめまして。kinmemodokiです。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2023の12日目の記事です。 2023年では様々なウェブサービスがパスキーに対応し様々なログインUXが生まれました。 本記事はそのさまざまなウェブサービスのパスキーによるログインUXの挙動をまとめ、挙動の考察を行いました。 本記事で扱うのは「ウェブサービスのパスキーでのログインUX」についてであり、「パスキー周りの実装や技術」については基本的に扱いません。 なお、本記事では「WEB+DB PRESS Vol.136「特集2 実戦投入パスキー ─いまこそ実現、パスワードレス認証!」」の「第2章 パスキー時代の認証UX」を参考にしており、最低限の部分は
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現
Google、パスワードレスを実現する「Passkey」の開発者向けサポート開始。Androidデバイス間の同期、Androidを使ってWin/MacでのWebサイトへのログインなど実現 Googleは、パスワードレスを実現する「Passkey」のAndroidとChromeでの開発者向けのサポートを開始したと発表しました。 Google is bringing passkey support to Android and Chrome! Users can now create and use passkeys on Android devices. Passkeys are a significantly safer replacement for passwords and other phishable authentication factors Try passkey supp
The Ultimate Guide to handling JWTs on frontend clients (GraphQL) JWTs (JSON Web Token, pronounced 'jot') are becoming a popular way of handling auth. This post aims to demystify what a JWT is, discuss its pros/cons and cover best practices in implementing JWT on the client-side, keeping security in mind. Although, we’ve worked on the examples with a GraphQL clients, but the concepts apply to any
WebAuthN 実際導入してどうだったか
Nulab の Backlog, Cacoo と Typetalk に WebAuthn を導入して経験した 10 のこと
Passkey autofillを利用したパスワードレスログイン導入で得たものと、得られなかったもの - Money Forward Developers Blog
English version of this article is available here はじめに こんにちは、CTO室 IDサービス開発部のyamato(@8ma10s)です。 マネーフォワード IDという、当社サービス向けのIdPを開発しています。 今回このマネーフォワード IDにおいて、パスワードを使わずに、生体認証などを利用してログインできる「パスワードレスログイン」という機能をリリースしました。 また、今回のリリースでは、既にいくつかの他社サービスで導入されているような通常のパスワードレスログインUIではなく、「Passkey autofill」という、ブラウザの自動補完を利用する新しいタイプのパスワードレスログインUI を(恐らく日本のサービスで初めて。エンドユーザーの目に触れるサービスという意味では、おそらく世界でも初めて)導入しています。 私達がどういった過程で、
2023年4月28日 三菱UFJニコス株式会社 JCA(日本クレジット協会)にて公表されている「クレジットカード・セキュリティガイドライン(以下ガイドライン」)」に記載があるとおり、PINバイパス(暗証番号入力をスキップし、サインにて本人認証を行う取引)は2025年3月をもって原則廃止となります。弊社は安全なクレジットカード取引をご提供するため、ガイドラインに記載のとおり、既存のICクレジット決済端末を、2025年3月までにPINバイパスを許容しない設定へと順次変更を行っていく予定ですので、何卒ご理解賜りますようお願い申しあげます。 なお、レストランにおけるテーブル決済等、お客様にご移動いただく事が難しいお取引先様におかれましては、持ち運びが可能なモバイル端末への置換えをご案内いたしますので、弊社営業担当者、または下記の加盟店デスクへご連絡下さいますようお願いいたします。 電話でのお問い合
AWS + Azure ADによるSingle Sign-Onと複数AWSアカウント切り替えのしくみ作り - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、生産性向上チームの五十嵐(@ganta0087)です。 今回はAWSアカウントの管理についてのお話です。 AWSアカウントをみなさんの組織ではどのように管理されているでしょうか? シングルアカウントで運用していると、人やチームが増えて規模が大きくなってきたときに権限管理が中央集権的になり、管理者への負担が増大してしまいます。また、新規ユーザーの登録だけでなく、退職時の削除漏れにも注意が必要です。利用者側としても管理するパスワードが増えるのは避けたいです。 そこで、生産性向上チームではマルチアカウント構成によるシングルサインオン(以下SSO)とチームに委譲できる権限管理のしくみを作ることでこれらの問題を解決し、社内でAWSを活用しやすくなるようにしました。 サイボウズには社員のアカウント情報を管理しているActive Directory(Azure AD)があります。今回はそのA
パスキーとは何か、そしてその課題
パスキーはフィッシングに強く、テクノロジーに詳しくないユーザーでも使いやすい新しい認証方式で、いずれパスワードを置き換えると言われています。この記事では、パスキーの基本と、これからのウェブにとってパスキーがどういう意味を持つのかについてまとめてみます。 パスキーとは何か # 2022 年 12 月 9 日に Google が Android 版 Chrome でパスキーがサポートされたとのアナウンスが出ました。Apple もすでに最新版の macOS Ventura、iOS / iPadOS 16 で Safari がパスキーに対応しています。 パスキーは Apple、Google、Microsoft が協調して使う FIDO クレデンシャルの名前です。エンドユーザーのみなさんがパスワードの代わりとして認識し、直感的にログインできるよう「パスキー」というブランドとアイコンが決まりました。ウ
セッションマネージャー越しにSSHアクセスする構成のメリットについて考えてみました。 なにそれ? 公式ドキュメントでいうと以下内容のことです。 Step 8: (Optional) Enable SSH connections through Session Manager もう少し詳しく まず、クライアントはセッションマネージャーを使ってアクセスしたいインスタンスにアクセスします。 もう少しこの部分を具体的に説明すると、クライアントがアクセスしているのはインスタンスではなく、SSM(Systems Manager)のエンドポイントです。 そして、アクセス先インスタンス内のSSM Agentがポーリングアクセスしていて、こちらを通じてアクセスしています。 そして、この接続の先で、SSH接続し直しているイメージになります。これが今回扱う「セッションマネージャー越しにSSHアクセス」です。 わ
Google, Slackなどの最先端のサービスのログインフォームで、メールアドレス欄とパスワード欄をわけるようになったのはなぜですか?
回答 (3件中の1件目) SAMLやOpenID Connectを使った認証連携や、FIDOをはじめとしたパスワードレス認証に対応するためですね。昔と違ってIDとパスワードが単純に紐付いているとは限りません。メールアドレスの入力とパスワードの入力で画面を分けていれば、そのメールアドレスのユーザーが例えばIdPとしてG SuiteやActive Directoryを利用している場合、メールアドレス入力後にパスワードの入力画面ではなく、IdPのログイン画面に遷移させることができます。またFIDOなどパスワードレス認証を使っている場合も、パスワード入力欄ではなく、生体認証の画面を出すことができ...
はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。自分はもともとWebやUIのデザインを本職としていましたが、大学の同期と共同創業したセキュリティ企業であるFlatt Securityにて経営やDevRelを担っています。 デザインとセキュリティは普段話題が交わることが少ない領域ですが、UI/UXのデザインであればソフトウェア開発と不可分であることは間違いなく、すなわちデザインもセキュリティに無自覚ではいられないでしょう。 そのような観点で、本記事では「パスキー(Passkey)」を取り上げてみようと思います。 本記事は「パスキー」「FIDO」「WebAuthn」といったキーワードに関して以下のような認識を持っている方向けの記事です。 名前も知らない / 聞いたことがない 聞いたことはあるが、ほとんど理解していない はじめに パスキーをなぜ今知るべきか
こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感じでしょう。 そこで今回は、REST APIを用いた新規導入、移行というアプローチもあるのかなという話を書いておきます。 SPAとなると当然フロントエンドの振る舞いに注目されるけど、Deviseからの...を考える人たちはこの辺りから攻めるのもアリかと思う。ちゃんと整理して考えよう。https://t.co/fwhoA6wtjx— 👹秋田の猫🐱 (@ritou) 2020年8月19日 IDaaS の REST API この辺りをみてみてはどうでしょう。 Firebase Authe
People often see passwords are the original sin of authentication on the web. Passwords can be easy to guess and vulnerable to breaches. Frequent reuse of the same password across the web makes breaches even more profitable. As passwords are made stronger and unique, they can quickly become unusable for many users. Passwords indeed look notorious, but are passwords themselves the problem, or is it
IP制限を減らす取り組み
モンスト事業本部SREグループの伊藤です。 普段はモンストに関するシステムの改善・運用を様々な面から行っています。 今回もサービスの直接的な改善ではないですが、ツール等のIP制限を減らす取り組みについてご紹介します。 サービスの直接的な改善もいつか書ければなと思っております。 皆さんはIP制限をしているツール等はいくつくらいありますでしょうか? モンストにも歴史的経緯でIP制限されたツールや、特に制限されていないツール(!)までいくつもありました。 自作のツール以外にも開発や運用で使っているツールのフロントエンドなども合わせると30以上のツールがあります。 運用で使うツールはアラート対応などでオフィスにいない時でもどこからでもスマートに見れると嬉しいです。 特にサーバーのメトリクスは移動中に見れると対応しているメンバーにアドバイスができたり非常に助かります。 これまではオフィスのIPからの
『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
はじめに Authlete(オースリート)社主催の勉強会『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』(2020 年 1 月 31 日(済), 2020 年 2 月 21 日(中止))の内容がてんこ盛り過ぎるため、予習・復習用の情報を書き出そうと思います。 追記 2020 年 1 月 31 日の勉強会の資料と動画(字幕付き)を公開しました! OAuth / OIDC 勉強会参加者は、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本を知っていることが前提となります。 OAuth 2.0 は「アクセストークンを発行する仕組み」です。その中心となる仕様は RFC 6749 です。詳細については『一番分かりやすい OAuth の説明』と『OAuth 2.0 全フローの図解と動画』をご参照ください。 Op
Register as a new user and use Qiita more conveniently You get articles that match your needsYou can efficiently read back useful informationYou can use dark themeWhat you can do with signing up
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
GitHub、コード提供の全ユーザーに2要素認証(2FA)を義務付けへ 2023年末までに
Engadget | Technology News & Reviews
GCP の Application Default Credentials を使った認証 - ぽ靴な缶
Cursor Proを3日間で300回も使い倒してみた所感
Firebase利用時に発生しやすい脆弱性とその対策10選 - Flatt Security Blog
外部向けAPIプラットフォームの設計について - NearMe Tech Blog
Twitterの「SMS認証」3月19日に終了 まだ解除してない無料ユーザーは早めの変更を
firebaseでのパスワードログイン機能の実装をやりきるためのTips
パスワードのない世界に向けて ~TechFeed Conference 2022講演より | gihyo.jp
電話番号に届く認証番号を使った「2要素認証」はもはや安全ではない
いろんなウェブサービスにパスキーでログインしてみる
The Ultimate Guide to handling JWTs on frontend clients (GraphQL)
ICクレジットカード取引におけるPINバイパス廃止に関するご案内|クレジットカードなら三菱UFJニコス
セッションマネージャー越しにSSHアクセスすると何が嬉しいのか | DevelopersIO
デザイナー/PdMが今知っておきたいパスキーの基礎知識 - #FlattSecurityMagazine
認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife
Meet Face ID and Touch ID for the Web
2段階認証と多要素認証の違いを理解した気になってみる - Qiita
mika-blog28.com
osaka1shop2channel.jp
www.kamitrouble.com
note.com/fukkan_com
www.kobe-np.co.jp
approach.yahoo.co.jp