Nuxt.js+Firebaseの認証・認可を実装した雛形プロジェクトを公開しました - Qiita
この記事について NuxtとFirebaseを使って、これまでいくつかサービス開発をしていますが、認証/認可の実装はどのサービスでも毎回同じようなコードを書いている気がします。 サービスとしてのコア部分ではないですが、センシティブな部分なのでしっかりと調べながら実装すると結構大変ですよね(毎回時間がかかってしまいます)。 ここ最近のサービスはNuxt +Firebaseで開発することが多く、認証 / 認可のコードベースのTipsが貯まってきたので公開したら需要あったりするのかな? サンプルになりそうなプロジェクト見当たらないし、コアな部分ではないのであまり楽しくないし...。 雛形のプロジェクトとして需要あれば公開します👍 — フジワラユウタ | SlideLive▶️ (@Fujiyama_Yuta) June 7, 2020 自分だけではなく、いろんな人が同じような課題感を感じている
三菱電機が今年に入って2度目の不正アクセス被害の発表をしました。前回の発表は朝日新聞のスクープ記事から発覚しましたが、今回も朝日新聞のスクープ記事が出ていました。 digital.asahi.com 複数の関係者によれば16日夕方、同社が利用する外部クラウドサービスの監視システムが、通常とは異なる不審なアクセスを検知し、警告を発した。本社内でしかアクセスしないはずの管理者アカウントで、中国国内に割り当てられたIPアドレス(ネット上の住所)から接続があったためだ。 同社は不正アクセスの発生と判断し、接続を遮断した。調査の結果、社内ネットワークの管理や保守を担当する従業員の管理台帳ファイルを盗み取ろうとしていた形跡が見つかった。 接続元のIPアドレスを手掛かりに調べたところ、新たに2人の社員アカウントからの接続も見つかった。いずれもクラウドサービスの管理を任されている社員のものだった。ハッカー
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
7payが世の中を騒がせて、2段階認証という言葉がホットワードとなったりしてますね。こうした決済サービスのセキュリティを守るには「多要素認証」(Multi-Factor Authentication)が大切です。……ところで多要素認証ってなんでしたっけ? Twitter投票でクイズを出してみたところ……?
先日だれでもAIメーカーというWebサービスをリリースしました。このサービスは例によってOpenAI APIを使っており、トークンの使用量がランニングコストに大きく影響します。 また、気軽に使ってもらえるよう未ログインでも使用できる仕様にしているため、気をつけないと悪意のある人に大量にトークンを使用されてしまう可能性があります。 ノーガードだとどうなるか 例えば、POST /api/askという「リクエストbodyのpromptの値を取り出し、OpenAI APIのChat Completionsに投げる」という単純なエンドポイントを作ったとします。 「未ログインでも使ってもらいたいから」と認証を一切しなかった場合どうなるでしょうか? 悪意のある攻撃者に見つかれば、promptを上限ギリギリの長さの文章に設定したうえで、/api/askに対してDoS攻撃するかもしれません。 トークンを大量
Innovative Tech: このコーナーでは、テクノロジーの最新研究を紹介するWebメディア「Seamless」を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 スペインのUniversity Carlos III of Madrid、イランのShahid Rajaee Teacher Training University、イランのInstitute for Research in Fundamental Sciences (IPM)による研究チームが開発した「ECGsound for human identification」は、心電図から取得した心拍音を分析し、その人が誰かを特定するバイオメトリクス技術だ。心電図(ECG)信号をオーディオ波形ファイルに変換し、5つの音楽的特性を分析することで識別する。 今回はこれまでと違い、ノイズ(直流成分や
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
FIDOアライアンスが仕様を策定した「パスキー」は、パスワードではなく生体情報を用いて認証する「FIDO 2.0」を「Webauthn」標準に基いて利用して得た資格認証情報をデバイス単位で管理運用する技術です。このパスキーが抱える問題点について、Webauthn標準に関わったエンジニアのFirstyearことウィリアム・ブラウン氏が自身のブログで解説しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2024-04-26-passkeys-a-shattered-dream/ Webauthnがパスワードに代わる認証技術として大きな可能性を秘めていると考えていたブラウン氏は、2019年にオーストラリアからアメリカに渡り、友人と共にWebauthnのRust実装であるwebauthn-rsの開発を始めました。その過程で
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
Yahoo!ニュース @YahooNewsTopics 【総務相 住民票LINE請求は問題】 yahoo.jp/7Uh7LT 高市総務相は、東京都渋谷区が始めた無料通信アプリ「LINE」で住民票の写しの交付請求ができるサービスについて、区に改善を促す考えを示した。高市総務相は「セキュリティーなどの観点から問題がある」。 2020-04-03 13:31:15 Masanori Kusunoki / 楠 正憲 @masanork 不思議な主張。そんなこと法律に書かれてたっけ→“オンライン請求に必要な電子署名を用いていないため、「画像の改ざんやなりすましの防止といったセキュリティーの観点や、法律上の観点から問題がある」と指摘” / “LINEで住民票「問題ある」 高市総務相、渋谷区に改…” htn.to/3UQJWxK6wn 2020-04-05 07:31:50 弁護士 吉峯耕平 @kyos
Auth.js v5ではじめる本格認証入門
Next.js 14 / Auth.js v5 / Prisma / Planet Scale / shadcn/ui / Tailwind CSS を用いた認証・認可をハンズオン形式で学びます。
はじめに みなさんはじめまして。BASEでエンジニアをしております田村 ( taiyou )です。 先日、BASEではショップオーナー向けのコミュニティサイト「BASE Street」にログインするための機能としてSSOログイン機能をリリースしました。 SSOログインを実現するための認証方式はいくつかあるのですが、弊社ではSAML認証方式を用いて実現しました。 そのため、この記事ではSAML認証機構のIdPとしてOSSを使わずにSAML認証機能を実装する方法を紹介します。 前回のテックブログで、このSSOログイン機能のフロント側を開発したPJメンバーの若菜が「サーバーサイドエンジニアがフロントエンドに挑戦して最高の経験になった話」を執筆したのでこちらも見てみてください! SAML認証機能を提供しているOSSには、Keycloakなどがありますが、BASEでは以下の理由により自前実装すること
はじめに 弊社では、最近BEC(ビジネスメール詐欺)のインシデント対応を行いました。この事案に対応する中で、マイクロソフト社(*1)やZscaler社(*2)が22年7月に相次いで報告したBECに繋がる大規模なフィッシングキャンペーンに該当していた可能性に気づきました。マイクロソフトによると標的は10,000 以上の組織であるということから、皆様の組織でもキャンペーンの標的となっている可能性や、タイトルの通りMFA(多要素認証)を実施していたとしても、不正にログインされる可能性もあり、注意喚起の意味を込めてキャンペーンに関する情報、および実際に弊社での調査について公開可能な部分を記載しています。 *1: https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-aitm
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita
GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead.GitGitHub $ git push origin branch名 remote: Support for password authentication was removed on August 13, 2021. Please use a personal access token instead. remote: Please see https://github.blog/2020-12-15-token-authentication-requirements-for-git-operations/ for more information. fatal: unable to access 'https://github.com/名前/リ
github.blog 9/1 に GitHub Container Registry がパブリックベータとして公開されました。GitHub が提供する Docker レジストリサービスです。 この記事では、GitHub Container Registry についていろいろ調べたり動かしたりした内容をまとめます。 目次 注意事項 背景 Docker Hub と GitHub Container Registry GitHub Packages と GitHub Container Registry 料金 organization での GitHub Container Registry の有効化 試してみる パーソナルアクセストークンの作成 イメージの push イメージの権限変更 認証なしで public イメージの pull イメージの削除 GitHub Actions から Git
Firestoreセキュリティルールの基礎と実践 - セキュアな Firebase活用に向けたアプローチを理解する - Flatt Security Blog
こんにちは、株式会社Flatt Security セキュリティエンジニアの梅内(@Sz4rny)です。 本稿では、Cloud Firestore (以下、Firestore) を用いたセキュアなアプリケーション開発を行うためのアプローチについて説明するとともに、そのアプローチを実現するセキュリティルールの記述例を複数取り上げます。 本稿を読むことで、そもそも Firestore とは何か、どのように Firestore に格納するデータの構造を設計、実装すればセキュアな環境を実現しやすいのか、また、Firestore を利用するアプリケーションにおいてどのような脆弱性が埋め込まれやすいのかといったトピックについて理解できるでしょう。 なお、本稿は以前に投稿した記事と共通する部分があります。理解を補強するために、こちらの記事も適宜ご覧ください。 flattsecurity.hatenablo
先日、Viceに他人のSMS(ショートメッセージサービス)を簡単に盗む方法があるという衝撃的な内容の記事が掲載されました。 攻撃者はターゲットのスマホにアクセスする必要も、SIMカードを手に入れる必要もありません。 ただ、VoIPサービス卸売業者にわずかなお金を払って、自分たちが再販業者であると思い込ませ、書類を偽造し、ターゲットのSMSを別の番号に転送するように仕向けるだけでいいのです。 セキュリティの甘かったSMSサービスLucky225さんはMediumで次のように説明しています。 2021年3月11日(木)のある時点まで、NetNumberは、あらゆる携帯電話番号のNNIDの再割り当てや乗っ取りを、認証も検証を行なわずに許可していました。 おそらく、この筆者やほかのジャーナリストから説明を求められたNetNumberは、内部調査を行ない、それが事実であることがわかると、一時的に携帯
shiodaifuku.io
Webエンジニアのブログです。
Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here|Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F
注意事項 かなり高度なGASの使い方なのである程度GWS(Googleフォームやスプレッドシート)やGASをわかってる方前提で書いていますので結構省略しているとこも多いです。 あと作った後に手順を書いているのでなにか抜け漏れあったらごめんなさい。 まだ作ってみただけで実際に運用はしてないのでテスト等も不十分かも。運用してからまた追記します。 コードは直接スクリプトエディタでサクッと作ったサンプルです、実際はローカルでLintかけたりするのでインデントおかしかったりしても許してください。 背景 GWSを使う際にマイドライブで外部共有可能にするとやりたい放題なのでセキュアな環境とは言い難くなる。 また組織のファイルをマイドライブにおいてしまうとファイルオーナーが退職したときの扱いに困る。上長に移管したり、退職者アカウントに移管するのが一般的かと思うが、移管するということはマイドライブのファイル
認証に電話網を使うのはそろそろやめよう
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2020 年 11 月 10 日に米国の Microsoft Entra (Azure AD) Blog で公開された It’s Time to Hang Up on Phone Transports for Authentication の抄訳です。新着記事ではありませんが、以前より繰り返し様々な記事で参照されており、多くのお客様にとって有用であるため抄訳しました。ご不明点等ございましたらサポート チームまでお問い合わせください。 以前のブログ パスワードで攻撃は防げない - Your Pa$$word doesn’t matter では、パスワードに潜む脆弱性を明らかにしました。加えて、「でもパスワード以外の他の認証方法も侵害される可能性あるでしょ」という無数の DM や E メールに対する答えとして
証明書のピンニングはやめましょう
デジタルトラスト製品/サービス一覧: エンタープライズ IT、PKI、ID DigiCert® Trust Lifecycle Manager ウェブサイト&サーバー DigiCert CertCentral TLS/SSL Manager コード&ソフトウェア DigiCert® Software Trust Manager 文書&署名 DigiCert® Document Trust Manager IoT&コネクテッドデバイス DigiCert® IoT Trust Manager Matter による IoT デバイス認証 DigiCert® TrustCore SDK
公式ドキュメントで説明されているけど、同僚に何度か説明する機会があったり、作る必要のないサービスアカウントキーを目にすることも多いのでまとめておく。 認証情報が登場しないアプリケーションコード 例えば以下のコードで Secret Manager に保存したトークンを取得することができる。SecretManagerServiceClient にサービスアカウントキーを渡さずとも動作する。 const {SecretManagerServiceClient} = require('@google-cloud/secret-manager'); const client = new SecretManagerServiceClient(); (async () => { const [secret] = await client.accessSecretVersion({ name: 'proj
BacklogにmacOSの指紋認証でログインする様子 ヌーラボでは2019年3月にW3Cで標準化されたパスワードレス認証の「Web Authentication API」(WebAuthn: ウェブオースン)と、「FIDO2」(Fast IDentity Online: ファイド)対応のサーバを実装することで、Backlog / Cacoo / Typetalk上でのパスワードを使わない新しい認証に対応しました。 WebAuthn / FIDO2を使用した生体認証ログインのメリットは次のとおりです。 生体認証でログインが素早く簡単になります 生体情報はネットワーク上には流れず、ローカルのセキュリティ デバイスに保存されるため安全です 2要素認証※2のため安全です サーバに登録する認証情報は公開鍵のため、パスワードリスト型攻撃や情報漏洩のリスクがありません ドメインが検証されるため、フィッ
Twitter、著名人には「公式マーク」を新設へ。青い認証マークは月8ドルで一般人に販売 | テクノエッジ TechnoEdge
Twitter は青い認証マークを月8ドルのサブスクで一般販売する一方、著名人や企業など従来の認証済みアカウントには新たな「公式アカウント」の印を付与するようです。 Twitter を買収しCEOに就任した実業家イーロン・マスクは、認証マークについて「持つものと持たざるもので、貴族と平民のような現在のシステムはクソ」「民衆に力を!」と称して、毎月8ドルの有料プランTwitter Blue 加入者には特典として青いチェックマークを提供する仕組みを準備しています。 Twitter、月8ドルで認証マークの販売を開始「あなたもセレブや企業や政治家のように青いチェックマークが持てます」 | テクノエッジ TechnoEdge 従来の認証マークは企業や著名人、ジャーナリスト等に対して「本人確認済み」の証として与えることで成りすましを防止し、Twitter上の誤情報を減らす役割を果たしてきました。 新た
送信ドメイン認証の現状
2019/09/07 DNS温泉6 in 下呂 で利用したスライドです。 内容的にマズい部分は改変してあります。 時間的に古いものですので、現在と相違がある部分もあります。
IT(情報技術)システムの認証からパスワードをなくす動きが広がっている。新型コロナウイルス下で在宅勤務が進む中、漏洩リスクが高いという見方が強まったためだ。米マイクロソフトはメール「アウトルック」やチャット「チームズ」といった自社アプリで顔認証などを標準とした。導入コストも下がり始め、多くの企業が脱パスワードを検討すべき時期を迎えた。スマートフォンに指をのせると、傍らのパソコンの画面が切り替わ
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
Amazon の 2段階認証 突破の噂についての仮説 と 2段階認証で意識すること【2FA/2SV/MFA】 - Qiita
Amazon の 2段階認証(2SV)が突破された? Amazon の 2段階認証(2SV) が突破されたのではないかという件が話題になっています。 私もこれについてはとても気になっており、できるだけ早く真相が解明されることを願っています。 そこで、ふと疑問に感じたことが、2SV は何をどの程度防いでくれるのかということです。 ここでは、Amazon を例に、いろんなことを考えていきたいと思います。 フィッシングの前には無力 まず、2SVの突破と言っても様々な手口があります。 徳丸先生の動画が示す通り、中継型フィッシングであれば、自ら正しい認証情報を入力することになるので、2SVを設定していようがいまいが突破されてしまいます。 フィッシングではなく、かつ、TOTPでも突破されたケースも 今回の被害者には、中間者攻撃やフィッシングを受ける状態になかったと仰っている方がいました。 なので、何か
Firebase Authentification は OAuth 2.0 フローにのっとったログイン方法以外にも Email/Password を使ったログイン方法も提供しています。 このログイン形式をちゃんと使おうとすると、これまでは Provider が担ってくれていたパスワードの編集、パスワードの再発行、メールリンクでのログイン、アドレスの本人確認など様々なことを考慮しなければいけません。 この記事ではそういった考慮をした Email / Password ログインに挑戦します。 基本的にはmanage-users, password-auth, email-link-authといった公式ドキュメントを読むと IPASS ログインに必要なことは書いてあるのですが、action URL を自前で用意するフローを採用するとそれらのドキュメントで賄えなくなり試行錯誤をたくさんしなければい
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
コンピューターと人間を区別し、ボットが悪事を働くことを防ぐためにウェブサイトのログイン画面などに実装されているのが、車や信号など特定の物体が写った写真を選んだり、歪んだ文字を読み取って入力したりする「CAPTCHA」です。iPhone向けのOSであり2022年秋に登場予定の「iOS 16」ではこのCAPTCHAを自動でバイパスする機能が追加されることが明らかになっています。 iOS 16 Will Let iPhone Users Bypass CAPTCHAs in Supported Apps and Websites - MacRumors https://www.macrumors.com/2022/06/20/ios-16-bypass-captchas/ iOS 16 will let you bypass CAPTCHAs on some apps and websites
デジタル認証アプリをリリースします|デジタル庁
「デジタル認証アプリ」は、マイナンバーカードを使った本人確認を、安全に・簡単にするためのアプリです。行政機関や民間事業者は、デジタル庁が無償で提供するAPI(デジタル認証アプリサービスAPI)を活用することで、マイナンバーカードを使った本人確認を簡単に組み込むことができます。 デジタル認証アプリのご利用を検討する行政機関等、民間事業者の方は、下記サービスサイトからお申込みください(受付開始は、6月24日(月)午後以降となります)。 デジタル認証アプリサービスサイト デジタル庁開発者サイト 参考資料デジタル認証アプリについて(PDF/1,451KB)
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ:今さら聞けない「認証」のハナシ(1/5 ページ) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回は「二段階認証」と認証の仕組みについて。 ほとんどの人が日常的に行っている、ログイン(サインイン)などの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・
2022年度中にマイナンバーカードをほぼ全ての国民が取得する――。政府はこの目標に向け、マイナンバーカードの新規取得などで1人最大2万円分のポイントを付与する「マイナポイント事業」や、健康保険証や運転免許証とマイナンバーカードを一体化させる施策などを矢継ぎ早に展開している。 「マイナンバーカードの利用で便利になる」。河野太郎デジタル相はたびたびこうアピールしている。例えば2022年8月にはマイナンバーカードを管轄する寺田稔総務相と共に経団連を訪れ、会員企業に対して利活用を訴えた。だがマイナンバーカードを持っていても、現状では多くの人が日常で使う機会はほとんどない。 2022年8月25日、経団連にマイナンバーカードの普及と利活用の協力を要請する河野太郎デジタル相(左から3人目)と寺田稔総務相(左から2人目)。河野デジタル相は「(マイナンバーカードの本人確認機能の活用で)企業活動も便利になって
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
三菱電機は二段階認証を破られた - Fox on Security
イーロン・マスク、Twitterの認証マーク課金方針を認める。作家キングの「むしろお前らが私に払え」に月8ドルへの値下げ提案 | テクノエッジ TechnoEdge
「多要素認証(MFA)」ってなんだっけ? クイズを出したら不正解者多数だった件
未ログインでも叩けるAPIエンドポイントにレートリミットを導入する
心臓の音で個人認証、精度95%以上 音のリズムやピッチを分析
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
マイナンバーカードを用いた本人確認とiPhoneへの機能搭載【鈴木淳也のPay Attention】
パスワード不要の認証技術「パスキー」はパスワードよりもエクスペリエンスが悪いという批判
eKYCは当人認証ではなく身元確認 渋谷区の電子申請で乱用 他へ拡大のおそれ
IdPとしてSAML認証機能を自前実装した - BASEプロダクトチームブログ
MFA(多要素認証)を突破するフィッシング攻撃の調査 | セキュリティ研究センターブログ
GitHub Container Registry 入門 - 生産性向上ブログ
SMS認証はダメ。セキュリティ対策の注意点を徹底解説 | ライフハッカー・ジャパン
パスワードの代替「パスキー」が続々登場、Microsoft・Apple・Googleが対応
GoogleフォームとGASを使って利便性高くセキュアな共有ドライブ運用を作る
携帯電話契約の本人確認、マイナカード一本化へ
GCP の Application Default Credentials を使った認証 - ぽ靴な缶
さよならパスワード!WebAuthnに対応したBacklog / Cacoo / Typetalkで指紋を使って安全ログイン | 株式会社ヌーラボ(Nulab inc.)
さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞
OAuth 2.1 の標準化が進められています - Qiita
firebaseでのパスワードログイン機能の実装をやりきるためのTips
iOS 16で「私はロボットではありません」のCAPTCHAをスルーできるようになる機能が登場
「Gmail以外を使って」。神奈川県の高校入試出願システムで障害、6日経っても未解消
二段階認証の意味を問う 「7pay事件」を教訓に見直したい認証のハナシ
マイナンバーカードは便利か?民間での「本人確認」になかなか使われない理由
iOS・Androidも対応「パスキー」とはなにか? パスワード時代の終焉
