タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
こんにちは、 id:hogashi です。 masawada Advent Calendar 2022 - Adventar の 2日目です。 目次 目次 OTP 入力フォーム まずベストプラクティスを見る それでは本題です ちなみに ちなみに2 むすび OTP 入力フォーム なぜか id:masawada さんとたまにワンタイムパスワード (OTP) の話をする印象があります。偶然生成された「ホホンドホド」という文字列*1が TOTP で出そうな見た目じゃん、とか。 最近もまた微妙に使いづらい入力フォームに出会いました。そこで、世に存在するベストプラクティスとそれに沿わないフォームを見て、ベストたる所以をなんとなく感じてみる回をお送りします。結果的に GitHub がなんかむずい感じになっているという記事になりましたが、もちろん各サービスそれぞれ良いと思ってやっているはずなのであくまで個
SMS OTP form best practices Stay organized with collections Save and categorize content based on your preferences. Asking a user to provide the OTP (one time password) delivered via SMS is a common way to confirm a user's phone number. There are a few use cases for SMS OTP: Two-factor authentication. In addition to username and password, SMS OTP can be used as a strong signal that the account is o
GitHub - ory/kratos: Next-gen identity server replacing your Auth0, Okta, Firebase with hardened security and PassKeys, SMS, OIDC, Social Sign In, MFA, FIDO, TOTP and OTP, WebAuthn, passwordless and much more. Golang, headless, API-first. Available as a w
The Ory Network is the fastest, most secure and worry-free way to use Ory's Services. Ory Identities is powered by the Ory Kratos open source identity server, and it's fully API-compatible. The Ory Network provides the infrastructure for modern end-to-end security: Identity & credential management scaling to billions of users and devices Registration, Login and Account management flows for passkey
はじめに 本記事はBASE アドベントカレンダー 2023の14日目の記事です。 こんにちは!NEW Dept/Pay ID Dev/Web Backendエンジニアをしている@zanです。 主にPay IDの機能開発を担当しています。 SMS OTPで用いられるメッセージの形式を題材に、 どのような経緯で形式が決まったかを調べてみました。(ちょっとした考古学?みたいなものです。) SMS OTPとは SMS OTPと関連技術について振り返ってみましょう。 ...と思いましたが、 過去@gatchan0807が書いた今度は「WebOTP」についてFrontend Weekly LT(社内勉強会)でお話しました に詳しく書かれているので、気になる方はご一読いただけると幸いです。 (※2021年の記事なので一部情報が古くなっている可能性があります。) 簡単に言ってしまうと SMS OTP =
Webサイトのログイン時に、SMSで送信されるワンタイムパスワードをSMSから直接Webへ送る「One-Time Codes over SMS (OTP SMS)」をAppleとGoogleが提案中。
Webサイトのログイン時に、SMSで送信されるワンタイムパスワードをSMSから直接Webへ入力する「One-Time Codes over SMS」をAppleとGoogleが提案しています。詳細は以下から。 WebKitチームのRicky Mondelloさんらは現地時間2020年01月30日、ユーザーがWebサイトへログインする際、Webサイト側からユーザー/スマートフォンを確認するたにSMSで送られてくる2段階認証用のワンタイムパスワード(OTP)を、ユーザー自身がSMSを開いてOTPをコピーし、Webサイトのログインページでペーストするという一連の操作を無くすため「One-Time Codes over SMS (以下、OTP SMS)」というプロポーザルを公開しています。 We’ve published an explainer about an idea to harden S
色々言われているSMS OTPの需要
ritouです。 最近、SMS経由でOTPを送信する認証方式について色々言われています。 SMS Traffic Pumping Fraud Twitterもやられたというやーつ。 認証に限らず他の用途でもSMS送信を利用しているサービスにとっては頭の痛い問題。 SIMスワップ SIM再発行時の対面KYCのところを突破されたらどうしようもない感 SMSだけに頼っているサービスならSMSをやられたから被害に遭う、それはそうだが... この件は割とターゲットを絞って行われたお金持ち狙いの攻撃なのでは?とも思わなくない こういう事案が発生しているので、SMSを使ってどこまでできていいのかという話、やられたらどうするかの想定、リスク受容について見直すべきという意見はごもっともです。 もっと簡単にeSIMが発行できるところがあるみたいな話もありますし、今回の例では悪い人が対面で偽造免許持っていく手間
AMDが提供している「Platform Secure Boot(PSB)」は、同社製CPUの一部を他のシステムで使用できないようにするセキュリティ機能。このPSBがLenovo製PCの一部でデフォルトで有効化されているという。具体的にはLenovoの一般ユーザー向け製品とAMD Ryzen Proの組み合わせで有効化されているそうだ。問題はこのPSBが一度でも設定されてしまうと、そのCPUは設定されたメーカー以外のPCでは動作しなくなる点。このため特定メーカーでしか動作しないベンダーロックされたCPUが中古市場に出回るようになってしまったらしい。ロックさせた製品は外観では見分けが付かないことも問題になっている模様(Serve The Home、Cloudflare、reddit、GIGAZINE)。 あるAnonymous Coward 曰く、 組込屋的にオオッと思ったニュースを一つ AM
Visiteurs depuis le 28/01/2019 : 6731 Connectés : 1 Record de connectés : 23 Welcome to the Dow Jones PKI Portal. This website is made available to you by the Global Information Security Office of Dow Jones & Company. The purpose of this portal is to use it as a communications vehicle to promote the PKI technology and its benefits within Dow Jones. This website is accessible from the public Intern
◆海外在住者の銀行口座◆トークン(OTP)の電池切れに要注意! - トラリピで老後資金▶︎FIRE▶︎海外移住@バンコクで修業中。
海外在住者は、日本の銀行のトークン(OTP)の電池切れに注意が必要! 電池の寿命は約5年で、事前にアラートが出る仕組みで、切れても再発行は可能。 ただし、トークンは非居住者には発行されないので、電池切れ前にご確認を! ◆読者になる◆ ◆本記事のつづきは移転先:https://www.escape2bangkok.com にてご覧いただけます。お手数おかけしますが、下のブログカードよりご参照願います。 www.escape2bangkok.com ◆無料ブログでアフィリエイト:登録無料◆
注意: 著者は JIT について「実行時に機械語を生成する」くらいの知識しかありません。間違いなどあったらコメントで教えて下さい。 2020 年 9 月 10–11 日に行われた Code BEAM STO にて、Erlang VM コアコミッターの Lukas Larsson 氏が発表中に Erlang/OTP の JIT 実装である BeamAsm のプルリクエストを送りました。
これは「プログラミングErlang」と「すごいErlangゆかいに学ぼう!」を読み終わった人向けの 「プロフェッショナル Erlang/OTP」というオンラインブックをいつか書くためのメモ。 著者 時雨堂の中の人 Erlang/OTP は R11 から Erlang/OTP を利用した商用パッケージ製品開発者 WebRTC SFU Sora これから Erlang/OTP を学ぼうと思う人へ プログラミングErlang すごいErlangゆかいに学ぼう! まずこの2冊を購入してしっかり読み込んでほしい。自分もプログラミング Erlang をひたすら読み込んだ。 また、この 2 冊以外は日本語の書籍は読む必要はない。これに書いていない事は Erlang のドキュメントやソースコードを読む。資料では、この 2 冊に足りていない部分を書いていく。 ドキュメント https://www.erlan
2段階認証コード管理アプリ「Google Authenticator」がiPadのマルチタスク機能とOTPコードのドラッグ&ドロップに対応。
2段階認証コード管理アプリ「Google Authenticator」がiPadのマルチタスク機能とOTPコードのドラッグ&ドロップに対応しています。詳細は以下から。 Googleは現地時間2022年03月01日、2段階認証用コードを管理する「Google Authenticator for iPhone/iPad」をバージョン3.4.0へアップデートし、新たにiPadでマルチタスキング機能およびOTP(One Time Password)コードのドラッグ&ドロップに対応したと発表しています。 iPad のマルチタスク機能およびOTPコードのドラッグ&ドロップ機能の追加 軽微なバグの修正 リリースノートより抜粋 Google AuthenticatorはこれまでiPadOSのSplit ViewやSlide Overに対応しておらず、ユーザーはOTPパスワードをコピーしてから、OTPパスワ
アプリケーションとクラウドベースのソフトウェアへの安全なアクセスを提供することは、すべての業界の企業にとって常に存在する課題です。ユーザにシンプルで信頼性の高いセキュリティを提供することは、ユーザ情報と機密性の高い企業データを保護するために重要です。 テクノロジー企業がパスワードの盗難およびその他の種類のサイバー攻撃に対抗してきた方法の1つに、ワンタイムパスワード(OTP)の使用があります。OTPは、保護された情報にハッカーがアクセスするのを非常に困難にするために考案された多要素認証(MFA)の形式の1つです。 MFAは、エンドユーザがアプリケーションまたはシステムにアクセスする前に、通常のパスワード以外に追加の資格情報を要求します。例えば、SMSを使用するMFAは、ユーザに数字の文字列のテキストを送信し、ユーザはその文字列を入力しないとアクセスが��可されません。このコードはOTPの一種
Elixir v1.17 released: set-theoretic types in patterns, calendar durations, and Erlang/OTP 27 support
Elixir v1.17 released: set-theoretic types in patterns, calendar durations, and Erlang/OTP 27 support Elixir v1.17 has just been released. 🎉 This release introduces set-theoretic types into a handful of language constructs. While there are still many steps ahead of us, this important milestone already brings benefits to developers in the form of new warnings for common mistakes. This new version
【AWS IAM Identity Center 小ネタ】APIで作成したユーザーにメールでOTP(ワンタイムパスワード)を送るようにする | DevelopersIO
AWS IAM Identity Center のユーザー作成を、API(AWS CLIなど)を活用して 効率化したいケースがあると思います。 ただデフォルトの設定では、APIから作成されたユーザーは パスワードが設定されていないので、サインインできません。 これを解消するにはコンソールの [設定] > [認証] > [標準認証] > [E メールの OTP を送信] を有効化する必要があります。 Send email OTP for users created from API - AWS IAM Identity Center (successor to AWS Single Sign-On) …伝えたいことは以上ですが、これだけでは物足りないので 実際にその設定を有効化してみます。また、ユーザー作成時の挙動も確かめてみました。 設定の有効化 IAM Identity Center コ
GitHub - bcpeinhardt/learn_otp_with_gleam: A resource for learning the OTP framework with the Gleam programming language
Hello! I'm Ben, a software engineer who's fond of the Gleam programming language interested in learning OTP. If you haven't heard: Gleam is a programming language that is statically typed, has great tooling, and an even better community. Gleam can compile to Erlang or JavaScript, depending on your needs. Because the concurrency models of these languages are fundamentally different, concurrency is
Yahoo! JAPAN は、検索、ニュース、e コマース、メールなどのサービスを提供している日本の大手メディア企業である LY コーポレーションの一員です。5,500 万人を超えるユーザーが Yahoo!JAPAN のサービスを毎月ご利用いただけます。 e コマースやその他の金銭関連サービスを提供しているため、アカウントのセキュリティが最優先です。セキュリティを強化するため、Yahoo!JAPAN は 2017 年以降、ユーザーのパスワードレス認証への移行を進めています。これには、SMS 認証、パスワード無効化機能、パスキーの導入などが含まれていました。この記事では、Yahoo!JAPAN は、パスキーのユーザー エクスペリエンスと導入率の改善における実績とアプローチを打ち出しています。 パスワードレス認証で成功 パスワードレス認証への移行により、ログイン ID やパスワードの忘れた問い
GitHub - privacyidea/privacyidea: :closed_lock_with_key: multi factor authentication system (2FA, MFA, OTP Server)
privacyIDEA is an open solution for strong two-factor authentication like OTP tokens, SMS, smartphones or SSH keys. Using privacyIDEA you can enhance your existing applications like local login (PAM, Windows Credential Provider), VPN, remote access, SSH connections, access to web sites or web portals with a second factor during authentication. Thus boosting the security of your existing applicatio
Fill OTP forms within cross-origin iframes with WebOTP API Stay organized with collections Save and categorize content based on your preferences. SMS OTPs (one-time passwords) are commonly used to verify phone numbers, for example as a second step in authentication, or to verify payments on the web. However, switching between the browser and the SMS app, to copy-paste or manually enter the OTP mak
As long as Erlang has existed, there has always been the need and the ambition to make it faster. This blog post is a history lesson that outlines the major Erlang implementations and attempts to improve the performance of Erlang. The Prolog interpreter # The first version of Erlang was implemented in Prolog in 1986. That version of Erlang was too slow for creating real applications, but it was us
Cloudflare ZeroTrust AceessでWEBサイトにメールOTP認証を実装した時のメモ - Qiita
概要 webサイトにメールでのOTP認証を手軽に実装できるというCloudflare Zero TrustのAccessが面白そうだったのでお試しした時のメモ。 実現したかった事 公開領域にあるWEBサイトにアクセス制限を設けたい。 テストサイトを特定の人にだけ見せたいとかそういう需要でよくあるやつ。 でもアクセス元IPアドレスの管理やBASIC認証のIDとパスワードを作って渡してとか個別の管理...とかはやりたく無い。 アクセス許可したいユーザのメールアドレスだけでサクッとなんとかしたい。 アクセスのたびに変わるOTP使って認証したい。 でも複雑な仕組みは管理したく無い。幸せになりたい。楽して生きていたい。 とりあえず無料でできる範囲でやりたい 事前に用意が必要なもの Cloudflareアカウント(無料プランで検証は可能) 自分で管理操作可能な独自ドメイン(サブドメイン不可) 独自ドメ
Message passing has always been central to Erlang, and while reasonably well-documented we’ve avoided going into too much detail to give us more freedom when implementing it. There’s nothing preventing us from describing it in a blog post though, so let’s have a closer look! Erlang processes communicate with each other by sending each other signals (not to be confused with Unix signals). There are
YSR on Twitter: "要約すると 「みずほ銀行のみずほダイレクトでワンタイムパスワード(OTP)を利用している場合、機種変するとOTPが使えなくなる。しかしOTPのリセットにもOTPが必要。そのためハードウェアOTPを貰いに行く必要があるが、今はもうそ… https://t.co/qvEIWddWtw"
要約すると 「みずほ銀行のみずほダイレクトでワンタイムパスワード(OTP)を利用している場合、機種変するとOTPが使えなくなる。しかしOTPのリセットにもOTPが必要。そのためハードウェアOTPを貰いに行く必要があるが、今はもうそ… https://t.co/qvEIWddWtw
Amazon Pinpointでワンタイムパスワード(OTP)の発行と検証が出来るようになりました | DevelopersIO
いわさです。 Amazon Pinpointへ何と、ワンタイムパスワード(OTP)管理機能が登場しました。 PinpointのAPIとして以下が提供されています。 OTPの発行 OTPの検証 従来はPinpointやSNS、あるいは別のサービスを使ってSMSを送信しつつ、OTPの管理を行って自前で実装していたと思いますが、新たに提供されるPinpointのAPI を使うだけで自前での管理が不要になります。これはすごい。 本日はOTPの発行・検証と有効・無効の条件などを動かしながら少し確認してみました。 OTP送信と検証 OTP送信、検証はマネージメントコンソールでは提供されておらず、AWS CLIを使った実装が必要です。 また、サンドボックスSMSアカウントでは利用できず、本番環境へ移行済みである必要もあります。 いつものように、新機能ですのでAWS CLIのバージョンアップが必要です。(
https://t.co/h0Vn8r7oTP
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
モダン Erlang/OTP
ちまちまアップデートしていきます 前提 時雨堂 が実際に利用している機能を中心に紹介しています OTP 26.2.1 ベースに書いています この資料が以下の書籍を読んだ人にとって、最近の Erlang/OTP の動向をキャッチアップする手助けになればと思います。 プログラミング Erlang https://shop.ohmsha.co.jp/shopdetail/000000001784/ すごい Erlang ゆかいに学ぼう! https://www.ohmsha.co.jp/book/9784274069123/ https://tatsu-zine.com/books/sugoi-erlang-ja また、Erlang/OTP を利用した製品がより多く生まれるといいなというお気持ちもこっそりあります。 書籍の Erlang/OTP のバージョンについて プログラミング Erlang
This post is a brief primer on BEAM, the virtual machine that executes user code in the Erlang Runtime System (ERTS). It’s intended to help those new to BEAM follow an upcoming series of posts about the JIT in OTP 24, leaving implementation details for later. BEAM is often confused with ERTS and it’s important to distinguish between the two; BEAM is just the virtual machine and it has no notion of
山崎 雅弘 on Twitter: "毎日新聞は、これを記事の見出しにすべきだろう。 影山貴彦同志社女子大教授「NHKはメディアとして絶対にしてはならないことをやってしまった」(毎日)https://t.co/BP0yVFPq6J「NHKの側に何か意図的なものがあっ… https://t.co/8q0JRA9OTP"
毎日新聞は、これを記事の見出しにすべきだろう。 影山貴彦同志社女子大教授「NHKはメディアとして絶対にしてはならないことをやってしまった」(毎日)https://t.co/BP0yVFPq6J「NHKの側に何か意図的なものがあっ… https://t.co/8q0JRA9OTP
Now that we’ve had a look at BEAM and the interpreter we’re going to explore one of the most exciting additions in OTP 24: the just-in-time compiler, or “JIT” for short. If you’re like me the word “JIT” probably makes you think of Hotspot (Java) or V8 (Javascript). These are very impressive pieces of engineering but they seem to have hijacked the term; not all JITs are that sophisticated, nor do t
Finally Erlang/OTP 24 is here! A release that for me has been about 10 years in the making. As is tradition by now, this blog post will go through the additions to Erlang/OTP that I am most excited about! Erlang/OTP 24 includes contributions from 60+ external contributors totalling 1400+ commits, 300+ PRs and changing 0.5 million(!) lines of code. Though I’m not sure the line number should count a
Pubudu Jayawardana for AWS Community Builders Posted on Sep 27, 2021 • Updated on Jan 23 • Originally published at pubudu.dev Intro This post describes how to implement a simple One Time Password (OTP) system with AWS Serverless services which can be used as a part of two-step verification. Below tools and technologies used to build this application. AWS Lambda API Gateway DynamoDB Simple Email Se
GitHub - smallstep/cli: 🧰 A zero trust swiss army knife for working with X509, OAuth, JWT, OATH OTP, etc.
Step CLI's command groups illustrate its wide-ranging uses: step certificate: Work with X.509 (TLS/HTTPS) certificates. Create, revoke, validate, lint, and bundle X.509 certificates. Install (and remove) X.509 certificates into your system's (and browser's) trust store. Validate certificate deployment and renewal status for automation Create key pairs (RSA, ECDSA, EdDSA) and certificate signing re
この資料は定期的に更新される 概要 Erlang/OTP を GitHub にあるソースコードからビルドして利用する方法についてまとめている。 前提 株式会社時雨堂 の商用製品向けのビルド設定 パッケージングに利用する Erlang/OTP は OpenSSL を dynamic link しない OpenSSL 最新版を自前ビルドする 利用していないモジュールはビルドしない GitHub から clone してきてビルドする Linux 古いカーネルは利用しないほうがいい Ubuntu 24.04 x86_64 | arm64 apt install build-essential libncurses5-dev autoconf Ubuntu 22.04 x86_64 | arm64 apt install build-essential libncurses5-dev autocon
1Password CLI 2 を使ってコマンドラインで MFA の認証コード (OTP) を取得する | DevelopersIO
1Password CLI を使用してコマンドラインから OTP を取得してみました。 他の CLI ツールで MFA 認証コードの入力が必要な時に便利なのでご紹介します。 1Password CLI をインストール 1Password CLI をダウンロードページからダウンロードし、インストールします。 Emergency Kit を用意する Emergency Kit を用意して、 Sign-In Address Secret Key をメモしておきます。 CLI から 1Password にログインする サインインのコマンドを実行します。 eval $(op signin) 手順通りに入力します: Enter your sign-in address (example.1password.com): 先ほどメモしたサインインアドレス Enter your email address
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
SMS OTPの自動入力によるリスクとその対策
ワンタイムパスワード(OTP)のベストプラクティスじゃない入力フォームに出会う - hogashi.*
SMS OTP form best practices | Articles | web.dev
SMS OTP で使われるメッセージの形式の歴史 - BASEプロダクトチームブログ
AMDのCPUには一度書き込んだら消去不能なOTPメモリが搭載されている | スラド セキュリティ
Document: Dj Secure: Using Otp And Pki Token For Mac
Erlang/OTP の JIT 実装 BeamAsm が公開されました
いつか「プロフェッショナル Erlang/OTP」を書くためのメモ
OTP、TOTP、HOTP: 違いは何か? | OneLogin
Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 | web.dev
Fill OTP forms within cross-origin iframes with WebOTP API | Articles | web.dev
The Road to the JIT - Erlang/OTP
A few notes on message passing - Erlang/OTP
夏躯 on Twitter: "https://t.co/h0Vn8r7oTP"
GitHub - WICG/web-otp: phone number verification
A brief introduction to BEAM - Erlang/OTP
A first look at the JIT - Erlang/OTP
Erlang/OTP 24 Highlights - Erlang/OTP
Create a simple OTP system with AWS Serverless
Erlang/OTP ソースコードインストールのススメ
www.astr-shop.jp
usen-insurance.com
kofukutrading.com
nordot.app
sainttropez.co.jp
kofukutrading.com