パスワードはおしまい! 認証はパスキーでやろう
はじめに パスワードは古来より認証に良く使われる方法ですが、その運用の難しさからセキュリティの懸念とその対策としての運用の複雑さ(複雑で長い文字列、90日でパスワード変更など)が要求される大きく問題をもった仕組みです。 その根本的な解決策としてFIDO Allianceを中心に推進されている 「パスワードレス」 が注目されています。これはPINや生体認証とデバイス認証を使ったMFAからなっており、フィッシングやパスワード流出に強い上に、ユーザも複雑なパスワードを覚えなくて良い、という大きなメリットがあります。最近はこの流れでPassKeyというものが登場し、Apple/MS/Googleのプラットフォーマが対応したことで、本格運用に乗せれるフェーズになってきました。というわけで以下に解説動画を作ったのですが、動画中で時間の都合で触れきれなかったところや、JavaScriptによる実装のサン
マルチプラットフォームのパスワード管理ツールを提供する米LastPassは2月16日(現地時間)、無料版「LastPass Free」で利用できるデバイスタイプを1つに限定すると発表した。3月16日から、モバイル端末かデスクトップWebブラウザかの選択を迫られる。 モバイル端末にはスマートフォン、スマートウォッチ、タブレットが含まれ、デスクトップWebブラウザは現在サポートされているすべてのPC上のWebブラウザのことだ。 例えばモバイル端末を選ぶと、iPhone、Android端末、iPad、Apple WatchでLastPassが使えるが、WindowsノートやMacでは使えない。デスクトップWebブラウザを選ぶと、その逆になる。 PC(Mac)とモバイル端末の両方でパスワード管理を続けたい場合は、月額3ドルの「LastPass Premium」あるいは月額4ドルの「LastPass
ページ閲覧 AutoPagerize chromewebstore.google.com ページネーションされたウェブページを自動で読み込み続けます。無かったら違和感あるレベルで日常になっています。 daily.dev chromewebstore.google.com 開発者向けニュースを空タブに表示します。 タブを開くときに自然に視界に入るのに加えて、検索で「過去話題になったもの」から探したりします(はてなブックマークやHacker Newsも似た用途で使います) ホームタブとは別です。ホームはperplexity.aiにしてます。 Google Scholar PDF Reader chromewebstore.google.com 標準のPDFビュワーを科学論文を読みやすく強化します。参考文献の追跡や引用、ジャンプ機能を提供します。ついでに官庁資料やクリプト系のホワイトペーパーなど
パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか?
パスワードマネージャのLastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表。パスワードレスの時代にパスワードマネージャの存在意義はどうなるのか? LastPassと1Passwordが相次いでFIDO/WebAuthnへの対応を発表しました。 Passwordless is possible. Introducing Passwordless login by LastPass. The first password manager committed to a FIDO-supported #Passwordless future. Learn more: https://t.co/8UKhZPrkcZ pic.twitter.com/Nzk3F7payK — LastPass (@LastPass) June 6, 2022 We’ve joined
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
パスワード管理アプリ「LastPass」では、2022年8月の不正アクセスによってソースコードが盗まれて以降、ハッカーによる顧客データへの不正アクセスが発生しています。LastPassは2022年12月22日に不正アクセスによってユーザーの個人情報やパスワードなどのデータが漏えいしたことを発表しています。 Notice of Recent Security Incident - The LastPass Blog https://blog.lastpass.com/2022/12/notice-of-recent-security-incident/ LastPass says hackers stole customers’ password vaults | TechCrunch https://techcrunch.com/2022/12/22/lastpass-customer-p
Intel MacからM1 Macの移行を想定。実際にはIntel MacからM1 Pro Macへ移行をしたのでその忘備録です。出来る限りというのは手動作業が存在するため。移行セットアップを利用せずにクリーンインストールを行う。 なぜクリーンインストールなのか CPUアーキテクチャがarm64に変わるからです。TimeMachineやThunderboltケーブル経由での移行を行ったとしてもM1に最適化されたアプリケーションやミドルウェアではなく、Intel環境下のファイルとarmアプリケーションが入り混じってグチャグチャになった環境を直すよりもクリーンインストールで綺麗な状態でセットアップをしたほうが利点が大きいと考えている。 逆に言えばアーキテクチャが同じであれば良いので、見ている方がいるかわからないがM1 MacからM1 Pro・Maxへの移行はThunderboltケーブル経由で
Intro 震災の直後、復興のさなかに水害が起こり、再び全てが流される。能登の人々にとっては大変な 2024 年だったと思う。首都直下型や南海トラフはいつ起こってもおかしくないと言われ、戦火すら他人事ではなくなっている。 家に災害用の備蓄を用意するのと同様、定期的に「アカウント防災訓練」を個人的に実施するようになって数年経つ。 観点は「今、持っているものを全て失っても、リカバリできるだろうか?」だ。 現代のアカウントの管理は、"Password Less" を目指す過渡期で、中途半端に複雑だ。Password は無くなっているというより、集約された "Less Password" 状態であり、残る「最後の Password」を起点にどう全体を復元するかが、災害時リカバリの課題となる。これに失敗して全てが詰むと、仮に無事避難できたとしても、相当な喪失を味わうだろう。 現状の選択肢と設計方針を
Appleは日本時間6月11日より開催する「WWDC24」において、「iOS 18」や「macOS 15」などの次期OSを発表する見込みですが、BloombergのMark Gurman氏によると、「iOS 18」や「macOS 15」には新しい「パスワード」アプリが導入されることが分かりました。 「パスワード」アプリは、「1Password」や「LastPass」のようなサードパーティ製パスワード管理アプリの代替となるもので、iPhone、iPad、Macユーザーが保存されているログイン情報にアクセスするためのよりシンプルな方法が提供されます。 AppleのOSには既にパスワード機能は組み込まれていますが、「設定」アプリに隠された状態となっている為、慣れていないユーザーにとっては少し見つけにくくなっています。 「パスワード」アプリには、Webサイトのログインとパスワード、Wi-Fiネット
総当たりする所要時間を考えると、9桁以下や10桁でも文字の組み合わせに記号がないと、危険ですね。 尚、同ガイド「インターネットの安全・安心ハンドブック」には、第6章でパスワードに関することのみにフォーカスした章があり気になる方にはおススメです。 パスワードの使い回し禁止の人力は現実的? パスワード長く記号も使おうはわかったよと、そして次の節が「使い回しはだめよ」です。使い回しがだめなら単に最後の文字だけ変える、これもだめです。 それが、だめなのはわかるのですが、わかりますが長くて複雑かつ使い回さないものは覚えられないですよね、私は電話番号という数値のみの10~11桁をよく使うものなら覚えられ、それ以上は厳しいです。 覚えられないパスワードは保管して、適時利用することが推奨されます。次の節でその方法について説明します。 「ノートに書く」? 必要に応じてノートを開く、そこに複雑な文字列がある.
ID管理サービスや認証サービスなどを提供しているOktaが、個人向けのパスワードマネージャ「Okta Personal」を公開しました。 Okta PersonalはWebブラウザのプラグインなどと組み合わせて利用することで、Webサイトごとのパスワードの自動生成、パスワードの保存、ログイン時のIDとパスワードの自動入力などを行ってくれます。 現在ではソーシャルメディアから業務アプリケーションまで、多数のWebサイトにログインして利用することが一般的になっています。 このとき、推測されにくい十分な長さを持つ複雑なパスワードをWebサイトごとに重複しないように使い分けようとすると、現実的には記憶に頼るだけでは難しく、メモを取っておくなどパスワードを確実に記録しておく手段が必要となります。 一般にパスワードマネージャは、こうした推測されにくいパスワードの自動生成と安全な保存、そしてログイン画面
LastPass、DevOptsエンジニアの自宅PCがセキュリティ侵害の原因だったと最終報告 | ソフトアンテナ
LastPass、DevOptsエンジニアの自宅PCがセキュリティ侵害の原因だったと最終報告 2023 3/01 人気のパスワード管理サービス「LastPass」は昨年、パスワードを含むユーザーの機密データが漏洩する大規模なセキュリティ攻撃に直面しました。12月に同社、は漏洩したデータを攻撃者が入手した事を認め、ユーザーに対しパスワードを変更するようにとの声明を発表していたなか、このセキュリティ侵害が、DevOptsエンジニアのPCから盗まれた認証情報によって引き起こされた事を明らかにしています(9to5Mac)。 LastPassのブログ記事によると、2022年8月にハッカーがAmazon AWSのクラウドサーバーにアクセスしてデータを盗み出すという連携攻撃が発生。同社のクラウドストレージにアクセスできるDevOpsエンジニアから、サーバーの認証情報が盗まれたため、LastPassが不審
「パスワードを人質に有料プランの契約を迫るべく意図的なバグを仕込んだ」としてパスワード管理アプリ「LastPass」が非難される
パスワード管理機能や生成機能を備えた「LastPass」において「無料プランではエクスポート機能へのアクセスが制限されている」「パスワードのエクスポートが不可能となるバグが存在する」といった問題が報告され、「LastPassは有料プランを契約させるためにユーザーのパスワードを人質にしている」と非難されています。 LastPass is holding people's data hostage and it is an absolute disgrace that needs to stop : software https://www.reddit.com/r/software/comments/s053t3/lastpass_is_holding_peoples_data_hostage_and_it/ LastPassは無料プランでも強力なパスワード管理機能や生成機能を利用できるアプ
パスワードマネージャー「LastPass」で本人しか知らないマスターパスワードを使って他人がアクセスしようとする事態が複数発生
パスワードや個人情報を管理するパスワードジェネレーターの「LastPass」で、複数のユーザーが「マスターパスワードが侵害された」と警告するメッセージを受け取っていると報告しています。 Ask HN: How did my LastPass master password get leaked? | Hacker News https://news.ycombinator.com/item?id=29705957 LastPass master passwords may have been compromised | AppleInsider https://appleinsider.com/articles/21/12/28/lastpass-master-passwords-may-have-been-compromised LastPass users warned their m
まえがき 昨年LastPassのセキュリティインシデントが話題になりましたが、みなさんはパスワードや秘匿情報の保護はどのようにされていますか? SSOログインや、YahooさんのようにSMS認証でパスワードそのものを排除する方式もあったり様々なパターンがでてきました。 とはいえ、引き続きID/Passwordを必要とする場面はまだまだ継続するんじゃないかなと思っています。 また、WEBサイトのID/Password以外にもクレジットカード番号や、ソフトウェア開発するときに必要となるSSH秘密鍵等のように保存しておきたい秘匿情報も多いかと思います。 1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した@Web Scratchにもあるように、ローカルからどんどん秘匿情報を削除する素晴らしい方法もあります。 私も日々生成される
Leaner Technologies の @corocn です。 最近フォームを作っていて、意図しないタイミングで 1Password のオートコンプリートが表示されてしまい困っていたので解決法を残しておきます。 画像はshadcn/ui - dialogから拝借 結論 input に data-1p-ignore 属性を付与する autocomplete="off" しても空気読んで無効化してくれないので注意。
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり
すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。 iLeakage https://ileakage.com/ iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。 iLeakageは「ウェブサイト
シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する=IT環境をシンプルにす
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 Twitter: @shiropen2 中国の南開大学や北京大学などに所属する研究者らが発表した論文「Pass2Edit: A Multi-Step Generative Model for Guessing Edited Passwords」は、1つのサービスで使っているパスワードを少し変えて別のサービスで使い回しているパスワードを予測して特定する攻撃を提案した研究報告である。 インターネットでサービスを利用すると、アカウント数が増加する。一般のユーザーは、80~107個ものオンラインアカウントを持っているとされている。このような状況において、新しいパスワードを都度設定するのは
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(前編)】 - #FlattSecurityMagazine
Log4shellやSpring4Shell、Okta、LastPassなど重要度の高いサービスでインシデントが起き、Apaceh Log4jにおいて深刻度が高い脆弱性が見つかるなど、セキュリティに関する話題が尽きなかった2022年。その状況を踏まえて、新年から新たな目標や取り組みに向けて動き出した企業・組織も多いのではないでしょうか。 プロダクト開発・運用の現場では2022年のセキュリティ関連のトピックをどう受け止めているのか、また、今後のセキュア開発に関する潮流をどう予測しているのか。SaaS・OSSの自社開発を行う9社に所属する開発エンジニア・セキュリティエンジニアの方々に見解を伺いました。2週連続・前後編でお届けします! 今回コメントをいただいた方々(社名五十音順・順不同) 前編(本記事) Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道
パスワード管理アプリ「LastPass」によるデータ流出事件の弁明をセキュリティ専門家が「あからさまなウソに満ちている」と痛罵
パスワード管理アプリ「LastPass」から情報が盗み出されていた問題で、セキュリティ専門家のウラジミール・パラント氏が、LastPassから出された声明文を「省略ばかり、真実が半分しかない、あからさまなウソに満ちている」と痛罵。具体的な内容を挙げて、厳しく非難しています。 What’s in a PR statement: LastPass breach explained | Almost Secure https://palant.info/2022/12/26/whats-in-a-pr-statement-lastpass-breach-explained/ パラント氏はまず、声明がクリスマスを目前に控えた12月22日に出されたことを、「報道の数を抑えるために意図的に行われた可能性があります」と指摘しました。 声明内容にも1段落目から厳しい目を向けています。LastPassは「透
AppleがWWDC24でパクったアプリまとめ
AppleはWWDC24でiOS 18・iPadOS 18・macOS Sequoia・watchOS 11などの最新OSと、iPhone・iPad・Macで使えるパーソナルAIのApple Intelligenceを発表しました。AppleがWWDC24で発表した最新OSや新機能の中には既存アプリの模倣も多く存在しているとして、海外メディアが「Appleがパクったアプリ」をまとめています。 The apps that Apple sherlocked at WWDC 2024 | TechCrunch https://techcrunch.com/2024/06/12/the-apps-that-apple-sherlocked-at-wwdc/ Here are the apps Sherlocked by Apple during WWDC 2024 - 9to5Mac https:
セキュリティ主要7分野・脅威の進化と対応 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちは、技術広報の菊池です。 セキュリティの確保は技術的な課題にとどまらず、お客様の満足、さらには企業の存続に直結する重要なトピックスです。 私たちSaaS企業も例外なく、常に変化する脅威にさらされており、日夜対策のアップデートが求められますので、 私も自身の理解を深めるためにキーワードと各分野の歴史をまとめてみました。 本記事で取り上げるセキュリティ主要7分野では、新しい技術の登場と共に、新たな脅威が絶えず発生し、その対策の進歩も伺えました。 今回は、アプリケーション、ネットワーク、エンドポイント、データ、クラウド、アイデンティティとアクセス管理、インシデント対応と復旧のセキュリティについて、 その概要と1980年代〜現代に至るまでの歴史、脅威と対応策の進化を総括しました。全てはカバーしきれませんでしたが、代表的なツールも紹介しています。 それぞれの分野では個別の発展があり
PCやスマートフォンからパスワードを一括管理できる人気パスワード管理サービス「LastPass」がこれまで無料利用が可能だったPC・スマートフォンなどのデバイスの垣根を超えたパスワード共有機能を有料化すると発表しました。無料版の機能が制限されることになったLastpassについて、同種のパスワード管理サービス「Bitwarden」が「Lastpassから移行する方法」という記事を公開しています。 Import Data from LastPass | Bitwarden Help & Support https://bitwarden.com/help/article/import-from-lastpass/ 現地時間2021年2月16日、LastPassは「2021年3月16日から無料版の機能に制限を設ける」と発表しました。この制限の対象となったのが、PCとスマートフォンなどのデバイス
Slack's private GitHub code repositories stolen over holidays
HomeNewsSecuritySlack's private GitHub code repositories stolen over holidays Slack suffered a security incident over the holidays affecting some of its private GitHub code repositories. The immensely popular Salesforce-owned IM app is used by an estimated 18 million users at workplaces and digital communities around the world. Customer data is not affected BleepingComputer has come across a secur
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます LastPassによると、ハッカーが同社の上級エンジニアの自宅コンピューターを攻撃して、機密情報を含む企業データベースや情報へのアクセスに必要なマスターパスワードを窃取したという。 同社は、2022年8月にハッキング被害に遭ったことを最初に公表したとき、攻撃者が開発環境にアクセスして、LastPassのソースコードの一部と独自の技術情報を盗んだと述べた。 LastPassは当時、攻撃者が顧客データや暗号化された機密情報の保管庫にアクセスした証拠はないと語っていたが、12月には、暗号化されたデータと暗号化されていないデータの両方を含む保管庫データ(顧客に関する情報を含む)がハッカーに盗まれたことを明かした。 同社は今回、攻撃者が最初の攻撃
安全にWebサービスを利用するための実践的なパスワード管理について〜セキュリティーの専門家・徳丸浩さんインタビュー - board
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
2023年セキュリティトレンド大予想と2022年の総括【9社の開発・セキュリティエンジニアに聞く(後編)】 - #FlattSecurityMagazine
9社のSaaS・OSS開発の現場で活躍する開発エンジニア・セキュリティエンジニアの方々に、2022年のセキュリティ分野での取り組みや2023年に取り組みたいことなどを聞いた2週連続企画の後編です。後編では、5社からのコメントをご紹介します。 今回コメントをいただいた方々(社名五十音順・順不同) 後編(本記事) サイボウズ 開発本部 PSIRT SmartHR セキュリティグループ 岩田季之さん メルカリ Security Engineering Team Manager Simon Girouxさん Ubie 水谷正慶さん LayerX 鈴木研吾さん 前編 Aqua Security Open Source Team 福田鉄平さん カンム 金澤康道さん グラファー 森田浩平さん Finatextホールディングス 取締役CTO/CISO 田島悟史さん ▼前編記事 flatt.tech 今回
Dropboxから「パスワード管理アプリ」が出るぽいですね2020.06.09 14:0513,961 Victoria Song - Gizmodo US [原文] ( 岩田リョウコ ) ついに動き出した! Dropboxがパスワード管理アプリをローンチしました。その名はストレートに「Dropbox Passwords」。現在はまだベータ版で招待されないと使うことはできません。 機能としてはLastPassや1Passwordなどの既存のパスワード管理アプリと同じような感じみたいです。現在Google Play Storeでチラ見することができます。例えば、ウェブサイトやアプリにユーザーネームとパスワードを自動入力してくれる、新しいアカウントを作成する際には安全なパスワードを生成してくれる、複数のデバイスを同期してくれるなどです。今のところ2段階認証についての言及はありません。 Play
パスワード管理システム「LastPass」は、2022年8月にソースコード流出が判明したり、2022年12月にはユーザー情報の流出が判明したりと情報流出が相次いで報告されています。新たに、LastPassは一連の情報流出が「従業員のPCが攻撃され、キーロガーを仕込まれた」ことに起因していることを発表しました。 Incident 2 – Additional details of the attack - LastPass Support https://support.lastpass.com/help/incident-2-additional-details-of-the-attack LastPassはウェブサービスのパスワード情報を保存しておけるサービスで、LastPassのサーバー上にはユーザーのパスワードが暗号化された状態で保存されています。ところが、2022年8月にはLast
2022年8月にパスワード管理アプリ「LastPass」のソースコードの一部が何者かに盗み出されたことが報じられ、その後、2022年12月になってようやくLastPassはユーザーデータが不正アクセスされたことを認めました。この事件によりユーザーがパスワードを保管している「Vault(保管庫)」のデータが流出したことが報告されており、パスワードの流出が懸念されています。この事件を受け、セキュリティ研究者のナズ・マルクタ氏が「Vaultをクラッキングする方法」を実演し、その危険性に警鐘を鳴らしました。 Cracking encrypted Lastpass vaults | Markuta https://markuta.com/cracking-lastpass-vaults/ LastPass Security Breach UPDATE: What You Need to Know h
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に パスワードマネージャのBitwardenがPasskey対応を発表しました。 Passkey対応のWebサイトへのログインも、BitwardenのマスターパスワードでのログインもPasskeyでできるようになります。 Passkeys are coming soon to Bitwarden! This summer, you'll be able to log into Bitwarden using a passkey as well as store #passkeys within your vault. Check out the blog: https://t.co/XqkHrNJzaf pic.twitter.co
macOS Big Sur betaは初期から使ってみてたんだけど、beta6にしたらDockerまで使えなくなってしまったので、衝動的に まったく新しいmacOS Big Sur betaでは Homebrew→使えません Androidエミュレータ→使えません Docker→使えません VirtualBox→使えません 早く直ってくれないとエンジニアリング活動できないぞ— Yusuke Iwaki (@yi01imagination) 2020年9月17日 こんなTweetしたら思いの外リツイートされまくってしまった。 事実ベースで情報を知りたい人向け に、自分のマシンで起きてることを、雑ではありますがまとめておきます。 (2020/09/18 14:00追記: beta7にするとDocker使えるようになっていました ) 動作環境 2019のMacbook Pro 15インチ。Moj
ES2024 / ES2023 / ES2022 / ES2021 JavaScriptの仕様は、TC39というところで決められています。 ブラウザベンダや関係者が定期的に会合を行い、様々な新機能について話し合ってどのようにするかを決めています。 ちなみに2023年9月のミーティングは東京で行われました。 ここでは2023年にFinishedになった、すなわち仕様が確定して複数のブラウザで実装がなされたproposalについて紹介してみます。 つまり、主要ブラウザでは既に使用可能です。 なお、2023年2月から2024年1月までにFinishedになったproposalがES2024と呼ばれるみたいです。 ずれているせいでややこしいですね。 年と一致させてくれ。 Finished Proposals Promise.withResolvers Promiseを外からresolve/reje
パスワード使い回しは危険、ならば「今日からできること」を考えよう:サイバーセキュリティ2029(1/2 ページ) 本連載はタイトルにあるように「近未来のITを守るためにいまできること」を考えていきたいと思います。特にセキュリティにおいては1年後を想像することも難しく、その意味では大仰なタイトルにしてしまったことを反省しているのですが、近未来に実現されていることを希望することは自由です。おそらく多くの方に取って、すぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。 言葉にはしていないと思いますが、私たちを取りまくパスワードはもはや破たんしているといっていいでしょう。私もいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワ
パスワード管理「LastPass」で顧客データの盗難 手口に使われた“2段階攻撃”とは? 弱点はエンジニアの自宅PC
パスワード一元管理ツールを提供するLastPassが2022年、2段階の攻撃を受けて顧客のパスワードなどの情報を盗まれた事件で、不正侵入に使われた手口の詳細を明らかにした。 攻撃者はまず、盗んだ情報や外部から入手した情報を悪用し、エンジニアの自宅PCを侵害して入手したパスワードで多要素認証を突破。これを踏み台としてLastPassに2段階目の攻撃を仕掛けて暗号化されたクラウドストレージに侵入し、顧客データを盗み出していた。 同社のブログによると、最初の攻撃が発覚したのは22年8月だった。社内の開発環境で異常な挙動を検出。調査した結果、開発者のアカウントが侵害されており、開発環境に不正アクセスされ、ソースコードや技術情報が盗まれていたことが分かった。 翌月には、米大手セキュリティ企業Mandiantの協力を得て8月の事案に関する調査を完了したと説明。不正アクセスされた開発環境は、本番環境とは
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワード管理「LastPass」の無料版、3月にスマホかデスクトップかの選択必須に
唐突に使っているChrome拡張を紹介 - laiso
パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
パスワード管理アプリ「LastPass」のパスワードや個人情報が盗まれていたことが判明
Intel MacからM1 (Pro・Max) Macへ(出来る限り)滑らかに開発環境を移行する
"Less Password" 時代のアカウント防災訓練 | blog.jxck.io
「iOS 18」や「macOS 15」では「パスワード」アプリが登場へ | 気になる、記になる…
パスワードマネージャーは必要か? そしてなぜKeeperか? - Qiita
Oktaが無料のパスワードマネージャ「Okta Personal」を公開
どのように1Passwordへのログイン方法を管理しているか
1Password のオートコンプリート機能をサービス提供側で無効化する
2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん
パスワードを“ちょっと変える”はどれくらい危ない? 「abc123」→「123abc」など 中国チームが発表
無料版が機能制限された人気パスワード管理サービス「LastPass」から「Bitwarden」に移行する方法
パスワード管理ツール「LastPass」がハッキングの被害、ソースコードと独自技術が漏洩/パスワードの漏洩はなし
2022年8月の「LastPass」ハッキング被害、顧客データも盗まれていた ~当初想定より深刻/マスターパスワード1つでギリギリ。大事な暗号化データは辛うじて保護
LastPassに再びハッキング被害--機密情報にアクセスできるマスターパスワードが窃取
Dropboxから「パスワード管理アプリ」が出るぽいですね
パスワード管理アプリ「LastPass」の情報流出は社員の自宅PCハッキングが原因
データ侵害が発生したパスワード管理アプリ「LastPass」をクラッキングする方法をセキュリティ研究者が実演
mac OS Big Sur beta6にした結果 - YusukeIwakiのブログ
【JavaScript】ES2024の新機能まとめ - Qiita
パスワード使い回しは危険、ならば「今日からできること」を考えよう