ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
【悲報】Google春のBAN祭り…15年以上の記録や想い出が一瞬で吹っ飛んだ!実体験記録を赤裸々に書いてみる | ひとぅブログ
【お礼】5月10日午後2時33分、アカウントが復元されました。こちらに顛末を書いております。よろしければ Googleにはいつもお世話になっています。アカウントは複数所有しておりメインアカウント、趣味用アカウントなど。主に5種類のアカウントを利用していますがそのうちメインで利用しているアカウントが、今朝方に何の前触れもなく、突然、BANをされました。 「Google 春のBAN祭り」などと揶揄されてSNS界隈で毎年話題にあがる話しですが、まさか自分が当事者になるとは夢にも思いませんでした。特にSNSなどに利用することなく大切にしてきたアカウントだけにショックも大きいです。 これは普段使いしている皆さんにも起こりうる事態だと思いますし、今回起こっていることをご紹介するとともに、これまで安全対策として備えをしてきた内容とその評価、今後の予定などを書きたいと思います。 かなり動揺している状態で記
AWSアカウントを作ったら最初にやるべきこと 〜2021年版〜 #devio2021 | DevelopersIO
ログ・モニタリングのやるべきこと AWS CloudTrail の設定 CloudTrail は AWS リソースを「誰が」「いつ」「何に」対して「どうような」操作をしたのかを記録するサービスです。 ログの長期保管の設定をしておくことで、トラブル発生時の解析等に利用できます。 有料です(無料利用枠もあります) [YouTube] AWS CloudTrailを触ってみた CloudTrail Insights を利用することで、機械学習により異常なアクティビティを検出することもできます。 ログは S3 と CloudWatch Logs に転送でき、S3 に保管しているログは Athena により検索することもできます。 Athena を利用する場合は、事前に CloudTrail 用のテーブルを作成しておき、検索方法を習熟しておきましょう。 インシデントが発生してから習熟では対応が遅くな
【感謝】Google 春のBAN祭り…凍結から5日、復活しました!15年以上の想い出が戻ってきた!顛末を詳しく書いてみる | ひとぅブログ
2021年5月10日午後2時33分。凍結から5日。無事Googleアカウント・YouTubeチャンネルが復活しました!まずは応援いただいたみなさまへ感謝の気持ちをお伝えしたいと思います。ご心配をおかけしました。みなさまのおかげでGoogleとの交渉を根気よく諦めずに続けることができました。本当にありがとうございました。 【Googleアカウント凍結問題解決報告】ご心配をおかけしております。無事アカウントが復元されました。 復元した事でメールを確認できたため見ると写真の5月5日4:43にメールが来てました。そしてアカウント凍結されたSMSが届いたのが5:12。わずか30分後。 (つづく)#Googleアカウント凍結 #経過報告 pic.twitter.com/IuwbgXJPTF ? ひとぅ (@hitoxu) May 10, 2021 前回の記事では何が起こったか分からず、凍結によるリスク
Twitter改めXはユーザーが運用していたアカウント「@x」を引き継ぐなど希少な名称のアカウント取得を進めています。新たに、ユーザーによって16年間運用されてきた「@music」「@sports」といったアカウントがX運営チームの手に渡ったことが明らかになりました。 Elon Musk Swipes Control of Another Twitter Account, This Time @Music | PCMag https://www.pcmag.com/news/elon-musk-swipes-control-of-another-twitter-account-this-time-at-music X user “super pissed” that Musk ordered takeover of his @music account | Ars Technica htt
SNSやウェブサービスを利用する際に必要となるIDに、自分の本名ではなくハンドルネームを使うという人は多いはず。しかし、何億人もの人が利用するインターネットで、自分が使っているハンドルネームと同じIDをたまたま別の人が使っているということもあり得ます。「HandleFinder」を使えば、自分のハンドルネームがどのSNSで使われているかを簡単に検索することができます。 HandleFinder https://www.handlefinder.com/ 調べたいハンドルネームを入力して、「SEARCH」をクリックするだけでOK。 数十秒ほど待つと、検索結果が表示されます。検索結果の中から、試しに「Facebook」をクリックしてみます。 すると、Facebookの公式アカウントページが表示されました。 また、アダルト動画サイトのxvideosにもアカウントがあるとのこと。一切身に覚えがなか
AWS Organizations における組織単位のベストプラクティス | Amazon Web Services
Amazon Web Services ブログ AWS Organizations における組織単位のベストプラクティス AWS のお客様は、新しいビジネスのイノベーションを生み出す際に、迅速かつ安全に行動できることを求めています。マルチアカウントフレームワークは、お客様に合ったAWS 環境を計画するのに役立つガイダンスを提供します。このフレームワークは、変化するビジネスニーズに合わせて環境の拡張と適応能力を維持しながら、セキュリティのニーズを満たすように設計されています。適切に設計されたマルチアカウントの AWS 環境の基礎は AWS Organizations です。これは、複数のアカウントを一元的に管理および管理できる AWS サービスです。 この記事では、AWS環境の構築を検討する際に役立つAWS のベストプラクティスに基づいたアーキテクチャについて詳細に説明します。推奨される組織
AWS で環境を構築する際はマルチアカウントになることが多い、これは理解していたつもりでした。 stg 環境と prod 環境は AWS アカウントごと分ける。dev 環境も分ける。 しかし、世の中のベストプラクティスはもっと先を行っていました。 なぜアカウントを分けるのか isolation authz & authn auditing and reporting 世の中のマルチアカウント構成 各企業の事例 AWS が提供するベストプラクティス Gruntwork から見た AWS ベストプラクティス 各社のプラクティスから読み取れること なぜアカウントを分けるのか AWS アカウントを分ける理由は 3 つあります。 isolation authz & anthn auditing and reporting isolation そもそもとして、環境は分離しないと、というものです。 st
再設定用のアドレスに間違いが。ヘルプセンターの回答は…こちらが、その女性から届いたメールです。 2019年11月、私は愚かにも、変えたばかりのGoogleパスワードを忘れてしまいました。とはいえよくあることなので、私はいつもどおりGoogleにメールをして、認証コードを送ってもらうことにしました。でも、さらに愚かなことが。そのとき私は、2段階認証も追加していたんです。 いえ、それだけなら問題にはなりませんよね。でも、再設定用のメールアドレスを間違えて登録していたようで。それでは2段階認証は意味をなしません。 (中略) Googleヘルプセンターでは、ずっと昔に自分で設定した「最初の電話番号は?」というセキュリティの質問をされました。それに答えると、返信用アドレスの入力を求められました。 その数日後、証拠不十分のため私のアカウントを復活することはできないという返信が来たのです。 アカウント作
プラットフォームアカウントに紐づけられたクレデンシャルを利用するユーザー認証について - r-weblife
おはようございます、ritouです。 何の話? 最近のユーザー認証を取り巻く状況について、次の2つの事例の共通点を考えましょう Passkey(FIDOアライアンスが言ってるMulti-Device FIDO Credentialsの方)はFIDOクレデンシャルがApple/Google/MSといったプラットフォーム(など)のアカウントに紐づけられる仕組み Google Authenticator のクレデンシャル管理がデバイス単位からGoogleアカウントに紐づくデバイス間で同期されるように変わる これらは "クレデンシャル" と呼ばれる、秘密鍵やパスワードなどの "認証のための情報" をデバイス単位ではなくプラットフォームアカウント単位に保存/管理するというお話です。 そのおかげで、新しいデバイスを使い始める際にこれまで利用してきたサービスに対して色々と設定しなおすことなく、Apple
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
CTF OSINTカテゴリ 入門
2022/08/29(月)に 第30回ゼロから始めるCTF入門勉強会 で発表した資料です。 https://zeroctf.connpass.com/event/257534/ ■ 演習問題について □ 演習問題の画像は下記URLで配布していますのでダウンロードをお願いします https://drive.google.com/drive/folders/1a7QrkI3Twso2Hrv9g7qVmE0k4c65yU5h?usp=sharing □ 演習問題を取り組むにあたっては下記をご準備ください ・ブラウザ: Chrome のインストール ・Chromeの拡張機能『Search by Image』のインストール https://chrome.google.com/webstore/detail/search-by-image/cnojnbdhbhnkbcieeekonklommdnndc
「Microsoft 365」のサービスを使ってファイルや情報を共有する方法は幾つか考えられる。しかし、かえってそれがユーザーを悩ませる原因にもなる。今回は、「ファイル共有」に関するお悩みに答える。 著者プロフィール:太田浩史(内田洋行 ネットワークビジネス推進事業部) 2010年に内田洋行でMicrosoft 365(当時はBPOS)の導入に携わり、以後は自社、他社問わず、Microsoft 365の導入から活用を支援し、Microsoft 365の魅力に憑りつかれる。自称Microsoft 365ギーク。多くの経験で得られたナレッジを各種イベントでの登壇や書籍、ブログ、SNSなどを通じて広く共有し、2013年にはMicrosoftから「Microsoft MVP Award」を受賞。 Microsoft 365にはファイルの保管場所に「OneDrive for Business」(以下
How Twitodon Works Click the buttons below to give Twitodon access to your Twitter and Mastodon accounts. Don't worry, we won't be able to see your passwords - we use a secure, open standard called OAuth that provides a safe way for 3rd parties like Twitodon access to website information without divulging user passwords. Twitodon will scan your Twitter "following" list, checking to see if any of t
あるアカウントのGoogle Keepを他のアカウントに全てコピーした - 狐の嫁入りっていいよね
TL;DR Google Keepの中身を他のアカウントに全コピーするPythonスクリプトを書いた。 経緯 今日、デザイナーさん達が隣でこんな話をしていた。 「諸事情でgoogleアカウントが使えなくなってしまうから、Google Keepで書いたメモ、他の自分のアカウントに移さないといけないんだよねえ」 「そうそう、あのコミュニティのGoogleアカウントのGoogle Keepでひたすら二年間メモしまくってきてたくさんあるから移すのめんどくさいなあ」 「これ一々手動でコピーしなきゃいけないよえ、めんどくさいねえ」 ... ... ぼく「...それ自動化できません?」 ここに言い出しっぺの法則が発動した。 「努力は楽をするためにある」が私の信条なので、私はワンパンでコピーができなければ気がすまなかった。 要するに極度のめんどくさがりなのである。 なんの生産性もない悲しい時間なんてなくな
WhatsMyName Web
Enter the username(s) in the search box, select any category filters & click the search icon or press CTRL+Enter
Stripe Connect のテスト
このページはまだ日本語ではご利用いただけません。より多くの言語で文書が閲覧できるように現在取り組んでいます。準備が整い次第、翻訳版を提供いたしますので、もう少しお待ちください。 Stripe Connect のテスト本番環境に移行する前に、アカウント作成、本人確認、入金を対象に Connect の組み込みをテストします。 テストを使用して、Connect のシステムがさまざまなフローを適切に処理できることを確認します。テスト環境を使用して、Stripe が提供するテスト用の特別なトークンを利用しながら本番環境をシミュレーションします。支払いや不審請求の申請などのテストについて、詳細は支払いのテストガイドをご覧ください。 テスト用アカウントを作成するテストアカウントは、任意のアカウントタイプまたはコントローラープロパティで必要な数だけ作成できます (複数の国のアカウントなど)。 テストアカウ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
X(旧Twitter)が「@x」「@music」「@sports」など希少なアカウントを次々にユーザーから奪っている
自分のハンドルネームがネットのどこで使われているかがわかる「HandleFinder」
AWS におけるマルチアカウント構成の動向 - 理系学生日記
Googleアカウントをロックされて、9年分のデータを失った人の話 | ライフハッカー・ジャパン
GitHub - mxrch/GHunt: 🕵️♂️ Offensive Google framework.
大事なファイルを「Microsoft OneDrive」に保存してはいけないワケ
Twitodon - Find your Twitter friends on Mastodon