MITMフィッシングによる2要素認証の回避 Nov 9, 2020 国内のオンラインサービスになりすまして正規の2要素認証を回避するフィッシングサイトが確認されている¹。このようなフィッシングサイトは被害者と正規サイトの間に介入し、被害者によって入力された認証情報やワンタイムパスワード(OTP)を即時に正規サイトへ入力することで認証を回避する。MITM(Man-in-the-middle)フィッシングと呼ばれるこの手法を理解するため、フィッシングフレームワーク「Evilginx2」を使用して2要素認証の回避を検証した。 MITMフィッシングの仕組み OTPによる2要素認証はパスワード認証の補強手段として活用されているが、パスワードと同様にOTPも被害者によってフィッシングサイトに入力されてしまえば攻撃者の手に渡る。つまり、攻撃者は被害者と正規サイトの間に介入し、被害者になりすまして正規の認
Raspberry Pi財団、独自開発の最新マイコン「RP2350」と「Raspberry Pi® Pico 2」を発表、スイッチサイエンスも「Picossci 2」発表、準備が整い次第販売開始
Raspberry Pi財団、独自開発の最新マイコン「RP2350」と「Raspberry Pi® Pico 2」を発表、スイッチサイエンスも「Picossci 2」発表、準備が整い次第販売開始 Raspberry Pi財団は2024年月日、高性能かつセキュアに進化した同財団独自開発の最新マイコン「RP2350」と「RP2350」を搭載した開発ボード「Raspberry Pi® Pico 2」を発表しました。 株式会社スイッチサイエンス(本社:東京都新宿区、代表取締役:金本茂)では、「Raspberry Pi® Pico 2」を近く販売開始するほか、「RP2350」や、スイッチサイエンスで開発中の「RP2350」搭載開発ボードシリーズ「Picossci 2」についても、準備が整い次第販売開始の予定です。 Raspberry Pi財団新製品「RP2350」 「RP2350」はCortex-M
κeenです。最近Yubikeyを買ったので色々試しています。今回はそのうちのPGP回です。 Yubikeyについて Yubikeyは米瑞企業のYubico社が販売している認証デバイスです。FIDOやらWebAuthnやらの文脈で耳にした方も多いんじゃないしょうか。Yubikeyは日本ではソフト技研社が販売代理店をしています。 Yubikeyはラインナップがいくつかありますが私が買ったのはYubikey 5 NFCです。 Yubikeyでできることは色々あります。 FIDO U2F FIDO/WebAuthn Challenge and Response OATH-TOTP / OATH-HOTP Yubico OTP PIV OpenPGP 静的パスワード 参考:Yubikey 5をArchLinuxで使う - Qiita このうち今回はOpenPGPサポートの機能を使います。 Open
GitHub - zitadel/zitadel: ZITADEL - Identity infrastructure, simplified for you.
Are you searching for a user management tool that is quickly set up like Auth0 and open source like Keycloak? Do you have a project that requires multi-tenant user management with self-service for your customers? Look no further — ZITADEL is the identity infrastructure, simplified for you. We provide you with a wide range of out-of-the-box features to accelerate your project, including: ✅ Multi-te
JSer.info #526 - npm 7が正式リリースされました。 npm install --global npm で npm 7がインストールされるようになっています。 npm 7がNode.jsに同梱されるのは、Node.js 15からになります。 npm 7 is now generally available! - The GitHub Blog Presenting v7.0.0 of the npm CLI - The GitHub Blog npm 7ではpackage-lock.jsonのフォーマットが変更されています。 あわせてyarn.lockファイルのサポートが追加されています。 その他の破壊的として、peerDependenciesが自動インストール、npxコマンドの変更、npm auditの出力形式変更などが含まれています。 機能追加としては、acceptD
GitHub - OpenSignLabs/OpenSign: 🔥 The free & Open Source DocuSign alternative
Secure PDF E-Signing: With the help of robust encryption algorithms, OpenSign™ ensures maximum security, privacy & compatibility. Now sign unlimited documents even on the cloud hosted free version of OpenSign. Annotate Documents: OpenSign™ allows you to annotate PDF documents with an advanced signing pad that allows hand drawn signatures, uploaded images, typed signatures & saved signatures for th
パスワードだけでは危ないとして、2要素認証を導入する企業が次第に増えている。代表的な2要素認証の1つは、パスワードとワンタイムパスワード(OTP)を使う方法だ。だが、ワンタイムパスワードを高確率で破れるとするサービスが出現している。一体、どんなサービスなのだろうか。知識情報と所持情報の組み合わせパスワードだけのユーザー認証では容易に破られてしまうとして、認証時に複数の情報(認証要素)を使う多
実践 Keycloak
Keycloakは、シングルページアプリケーション(SPA)、モバイルアプリケーション、REST APIなどのモダンなアプリケーションに焦点を当てた、オープンソースのIdentity and Access Management(IAM)ツールです。 小規模なウェブサイトから、数百万人のユーザーを抱える大企業まで、さまざまなシナリオの本番環境で使用されています。 本書は、開発コミュニティーのプロジェクトリーダーとコアディベロッパーが著した、Keycloakの包括的な解説書です。インストール方法から、管理コンソールやアカウントコンソールの使い方、本番環境での使用に備えた設定方法、ユーザーの管理、トークンとセッションの管理、SPIによるカスタマイズまでを詳しく解説しています。さらに、アプリケーションのセキュリティーを保護する方法や、OAuth 2.0とOpenID Connect(OIDC)を理
Why Elixir Is the Best Language for Building a Bootstrapped, B2B SaaS in 2024 | SleepEasy Website Monitor
Why Elixir Is the Best Language for Building a Bootstrapped, B2B SaaS in 2024 [This article is the companion to my presentation for CodeBEAM America 2024, Elixir is the One-Person Stack for Building a Software Startup. You can download the slides as a PDF or view them in Google Slides.] I’d like to share why I chose Elixir as the programming language (and really, as we’ll discuss, the full stack)
ツイッターの2.3億人情報流出事件のリスクを考えてみる
2023年の1月6日未明、Bloombergの報道「 ツイッター、2.3億人超える情報流出か1が流れてきたので、これを題材にこのリスク面をちょっと考えてみたいと思います。 もくじ 事件概要 悪用の可能性・リスク リスク1:メアドおよび電話番号を使って表アカウントとサブ垢、裏垢が名寄せされる リスク2:この情報を使ってフィッシングされる リスク3:プロファイリングに使われる リスク4:スパムに悩まされる/DDoS攻撃 識別子問題 事件概要 Bloomberg英語版の2023年1月6日 5:17 JSTの報道によると、twitterから漏洩したとみられる2.3億人を超えるユーザの情報が、掲示板「BreachForum」に掲載されたとのことです。入っている情報は、Eメールアドレス、ツイッター・ハンドル(@ から始まる名前。わたしの場合は @_nat )、フルネーム(←なんのことやら)とのことです
【VRChat】Discordメンバーのみ開錠できるワンタイムパスワードロックを作りました。【無料】 - チカラの技術
こんにちは!元気です。 今回はVRChatのワールドギミックの解説と導入提案(無料)の記事になります。 一般の方向けの用語解説などはありませんのであしからず・・・! VRChatの鍵の技術 良い感じの鍵、欲しくないですか? [ 画像:VOLT Dance Club / DigitrevX様 (※パスワードは無いです)] VRChatのワールドで特別な部屋にロックを掛けたい場合、鍵が必要になります。 今回作ったワンタイムパスワードロックシステム(OTP方式)は現行手法のデメリットを軽減もしくは解決する目的で作りました。 ただ現行手法にもメリット・デメリットがあるため、まずはそれらを紹介します。 なお、VRChat公式のモデレートツールガイドライン(規約に準ずる)についても後述で触れます。 現行手法 主に3つの手法があります。 ① 固定パスワード方式: ワールド製作者が決めた秘密のパスワードを
ECの増加と共に、非対面でのクレジットカード利用も大きく伸びている。しかし同時に増加したのが不正利用だ。日本クレジットカード協会の集計によると、国内での不正利用は2022年に436億円にのぼり、前年から32.3%増加している。 内訳を見ると、偽造カード被害はピークだった2002年の165億円から、22年は1.7億円まで急減している。これは改正割賦販売法によってICチップ付きカード対応が義務化された効果だろう。一方で、大きく増加したのが「番号盗用」被害だ。 その多くはECでの被害と見られる。もともと、カード番号と名前、有効期限が分かれば決済に利用できたクレジットカードだが、これだけではセキュリティが不十分なのは、EC時代には明らかだ。 パスワード入力を求める3-DS そこで進められてきたのが3-Dセキュア(3-DS)だ。カード番号などとは別に、ユーザーに固定のパスワードの入力を求めるもの。こ
パスキー利用状況レポート @ マネーフォワード ID (vol.2, Aug 2023) - Money Forward Developers Blog
English version of this article is available here. はじめに こんにちは、マネーフォワード ID 開発チームの @nov です。 前回のパスキー利用状況レポート vol.1から3ヶ月ほど経過しました。その後エンドユーザーのみなさんに向けたプロモーションも実施し、順調にパスキー利用者数が伸びています。 パスキープロモーションの進捗 2023年6月から、マネーフォワード ME という家計簿アプリのユーザー向けにパスキーの登録を促すプロモーションページの表示を開始しました。 現在パスキー未登録なユーザーがパスワードを使ってマネーフォワード ME にログインすると、以下のようなプロモーションページが表示されるようになっています。 プロモーション対象は開始当初は1%ほどに限定していましたが、7月終わりごろから全マネーフォワード ME ユーザー向けに対
パスキー時代のパスワードレス戦略 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? パスキーは、「UXが良く」、「フィッシング耐性がある」認証要素です。 この記事では、パスキーのデプロイメントの方向性として、 パスキーの「フィッシング耐性」ではなく、「UXの良さ」を活かして、サービスをフィッシングから守る ということについて考えてみたいと思います。 パスキーのデプロイメントの特徴 パスキーの導入には、以下のような特徴があると思います。 「UXの良さ」を活かすのは簡単 パスキーのユーザー体験の利点を活かすのは比較的簡単です。 単にパスキーをログインオプションとして追加するだけで、ユーザーは便利な認証方法を選択できるように
Passkeys を完全に理解するために Rails で実装してみた with Remix - STORES Product Blog
この記事は STORES Advent Calendar 2023 22日目の記事です。 こんにちは STORES 予約開発チームでエンジニアリングマネージャーをしています Natsume です。 昨今 Passkeys が各サービスで導入されており、勢いを感じています。 個人では 1Password のパスワードマネージャーを使っており、1Password が Passkeys 対応してから試しています。 Passkeys でのログインは ID/PW/OTP の autofill などに比べて 1step 省略される程度ですが、ログイン体験が良いと思っており、導入されていたらどんどん切り替えています。 ほどんどのサービスでは ID/PW との併用となっているケースが多く、セキュリティ面でのメリットを享受できるのはまだ先になりそうです。 個人的に Passkeys の実際の挙動や導入する時
This post shows different use cases for a Yubikey. There are also command line examples in a cheatsheet like manner. I’m using a Yubikey 5C on Arch Linux. If you run into issues, try to use a newer version of ykman (part of yubikey-manager package on Arch). Some features depend on the firmware version of the Yubikey. The tooling (like the wording) around the Yubikey is sometimes a bit confusing. I
Raspberry Piが2024年11月25日に新製品「Raspberry Pi® Pico 2 W」を発表、工事設計認証の取得が完了次第、スイッチサイエンスウェブショップでも発売予定
Raspberry Piが2024年11月25日に新製品「Raspberry Pi® Pico 2 W」を発表、工事設計認証の取得が完了次第、スイッチサイエンスウェブショップでも発売予定 Raspberry Piは2024年11月25日、Raspberry Piが独自に開発した高性能かつセキュアなRP2350Aマイコンを搭載した新製品「Raspberry Pi® Pico 2 W」を発表しました。株式会社スイッチサイエンス(本社:東京都新宿区、代表取締役:金本茂)でも工事設計認証の取得が完了次第販売を予定しています。 「Raspberry Pi® Pico 2 W」は、無線モジュール CYW43439を搭載しており、2.4 GHz Wi-FiおよびBluetooth 5.2が利用可能です。従来のPicoシリーズと比べてコアクロックが向上し、SRAMとオンボードフラッシュが倍に、強力になった
フィッシング耐性の高いMFA実装の解説 | ドクセル
CISAによるMFAのガイダンス CISAが多要素認証(MFA)に関する報告書2種類を公開 フィッシング耐性の高いMFA実装 IT管理者、ネットワーク管理者向けに多要素認証を使う上での脅威 を理解してもらうためのガイダンス。それぞれの実装方式にどのよ うな脅威があるかを解説 MFAアプリケーションでの番号照合の実装 フィッシング耐性の高いMFA実装を導入できない場合の次善策と なる番号照合型MFAの導入を促すためのガイダンス CISA Releases Guidance on Phishing-Resistant and Numbers Matching Multifactor Authentication | CISA https://www.cisa.gov/uscert/ncas/current-activity/2022/10/31/cisa-releases-guida
Secretlintはmonorepoとなっていて、パッケージを公開する際にlernaを利用していました。 しかし、lernaは現在メンテナンスされていないため、publish機能だけを取り出したlerna-liteと効率的なmonorepo向けのビルドツールであるTurborepoへ移行しました。 Lerna is largely unmaintained · Issue #2703 · lerna/lerna 追記: NxによってLernaがメンテナンスされるそうです。 Announcement: Passing the torch · Issue #3121 · lerna/lerna Lerna is dead — Long Live Lerna. If you’re in a hurry, here’s the TL;DR: | by Juri Strumpflohner | M
Web24 (2021/05/07 18:00〜)
Motivation イベントができなくなって久しい でもそろそろ Web について議論する場がほしい どうせオンラインでしかできないなら、オンラインでしかできないイベントにしよう オフラインカンファレンスのように 3 トラックなどでやるのは難しい(面倒くさい) 縦につないでやればいい 移動もないし、好きなときに好きなところを見れば良い GW どうせすることがない みんなが自粛する最後の GW になるかも 24h あればどこかは見れる オンラインで 24h イベントやろう Arrange テーマごとに 1.5h のセッションでたっぷり議論 全員が登壇者兼運営 登壇者の発言は組織のものではなく個人のもの 資料、画面共有、打ち合わせ、台本なし お金を動かすことはしない チケット、グッズなどの作成 スポンサー、協賛をつける Zoom + Youtube Live Zoom に 登壇者が次々に入っ
はじめに 本記事はBASE アドベントカレンダー 2023の14日目の記事です。 こんにちは!NEW Dept/Pay ID Dev/Web Backendエンジニアをしている@zanです。 主にPay IDの機能開発を担当しています。 SMS OTPで用いられるメッセージの形式を題材に、 どのような経緯で形式が決まったかを調べてみました。(ちょっとした考古学?みたいなものです。) SMS OTPとは SMS OTPと関連技術について振り返ってみましょう。 ...と思いましたが、 過去@gatchan0807が書いた今度は「WebOTP」についてFrontend Weekly LT(社内勉強会)でお話しました に詳しく書かれているので、気になる方はご一読いただけると幸いです。 (※2021年の記事なので一部情報が古くなっている可能性があります。) 簡単に言ってしまうと SMS OTP =
JSer.info #497 - Chrome 84がリリースされました。 New in Chrome 84 | Web | Google Developers Chromium Blog: Chrome 84 Beta: Web OTP, Web Animations, New Origin Trials and More Chrome Platform Status: milestone=84 Web animations APIの対応改善、Content Indexing API、Wake lock API、WeakRefのサポートなどが含まれています。 また、Origin trialsとしてIdle detection、Web Assembly SIMDのサポートされています。 Fast, parallel applications with WebAssembly SIM
依存ライブラリを減らす
自社主力製品(以下自社製品)の依存ライブラリを減らしたので、雑に書いていきます。 もともと、自社製品の依存ライブラリは多くありません。Erlang/OTP というマニアックな言語で書かれていることもあり、多くの依存ライブラリは自前で書いています。 自前ではない依存ライブラリは JSON、JSON スキーマ、HTTP サーバー、HTTP クライアント、Raft などです。 今回は HTTP クライアントをライブラリ依存が少ないライブラリに変更し、さらに JSON スキーマを Fork し、依存しているライブラリを減らしました。 HTTP/1.1 クライアント Hackney の削除
パスキーによるパスワードなしのログイン | Authentication | Google for Developers
フィードバックを送信 パスキーによるパスワードなしのログイン コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 はじめに パスキーは、パスワードに代わるより安全で簡単な方法です。パスキーを使用すると、ユーザーは生体認証センサー(指紋認証や顔認証など)、PIN、またはパターンを使用してアプリやウェブサイトにログインできるため、パスワードを覚えたり管理したりする必要がなくなります。 デベロッパーとユーザーはどちらもパスワードを嫌います。パスワードはユーザー エクスペリエンスに悪影響を及ぼし、コンバージョンを阻害するだけでなく、ユーザーとデベロッパーの両方にとってセキュリティ上の責任となります。Android と Chrome の Google パスワード マネージャーでは、自動入力によって手間が省けます。変換とセキュリティをさらに改善したいデベロッパーにとって、
JSer.info #490 - Babel 7.10.0がリリースされたました。 7.10.0 Released: Class Fields in preset-env, '#private in' checks and better React tree-shaking · Babel Release v7.10.0 · babel/babel ES2015の\u{...}形式のUnicode escapeをES5に変換する@babel/plugin-transform-unicode-escapesが追加されています。 このプラグインは@babel/preset-envにも追加されています。 また、現在Stage 4でES2020に入る予定のimport.metaのパースがデフォルトでサポートされました。 その他には、現在Stage 1のProposalであるPrivate Fiel
Apple、WebAuthnベースのキーマテリアルをiCloudに保存し同期/認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開。
AppleがWebAuthnベースのキーマテリアルをiCloudに保存しログイン認証に利用する「Passkeys in iCloud Keychain」のTechnology Previewを公開しています。詳細は以下から。 Appleは日本時間2021年06月08日より完全オンラインでWWDC21を開催していますが、元Duo Securityのエンジニアで現在はAppleのConsulting Engineering Teamで働くPepijn Bruienneさんによると、Appleは新しい認証情報保存機能「Passkeys in iCloud Keychain」のTechnology Previewを新たに公開するそうです。 2. Passkeys in iCloud Keychain – Store WebAuthn-based key material in iCloud mak
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 | DevelopersIO
FreeRADIUS + Google Authenticator + Microsoft ADを使ったClientVPNのMFA構成 FreeRADIUSを使って、Microsoft ADで認証するClientVPNの環境にMFAを導入してみました。Microsoft ADを使ったMFAの事例が少なかったので少しハマりました。 ClientVPNでは、ユーザーに対して多要素認証(MFA)を利用することができます。 今回は、MFAを使うために必要なRADIUSサーバを、FreeRADIUSで構築してみたいと思います。 構築手順としては、下記の情報を元にしています。こちらは古いAmazon Linuxを使っているため、今回はAmazon Linux2で作成しています。 また、下記では「WorkSpaces Connect」(現在のAD Connector)を使っていますが、今回はMicros
How Much Memory Do You Need to Run 1 Million Concurrent Tasks? | Piotr Kołaczkowski
In this blog post, I delve into the comparison of memory consumption between asynchronous and multi-threaded programming across popular languages like Rust, Go, Java, C#, Python, Node.js and Elixir. Some time ago I had to compare performance of a few computer programs designed to handle a large number of network connections. I saw huge differences in memory consumption of those programs, even exce
2024 年 6 月 14 日、Google 渋谷オフィスにて Chrome Tech Talk Night #16 〜 パスキー が開催されました。 CTTN #16 は、開発者のみなさんがパスキーの基本について学び、よくある疑問を解決できることを目指したイベントです。 FIDO Alliance メンバー企業でアクティブに仕様策定に参加しているエキスパートの皆様がご登壇されました。 資料はこちらに公開されています:Chrome Tech Talk Night #16 パスキー 以下はClaude Sonnet 3.5 によるまとめとNotta.ai によるまとめをもとに若干手を入れたものです。なお、私はこの分野は素人なので、間違いがあると思うので、その場合はご指摘いただければ幸いです。 Chromeテックトーク16 – パスキーについて #passkeys_jp 1. イントロダクショ
Raspberry Pi Pico WとPico Inky Packで天気予報を表示する - あっきぃ日誌
昨日届いたRaspberry Pi Pico Wのうち、ピンヘッダーをつけたやつを、以前買ったPico Inky Packに取り付けました。 で、こいつで天気予報を表示するやつを作るお話です。 元ネタ 元ネタは昔から動いている普通のラズパイ向けのやつです。今も現役なので、今回作ったもので置き換えるというわけではないです。 Inky pHATで天気予報を出す(常設ラズピッピがカオスになった話) - あっきぃ日誌 Inky pHATで天気を出すスクリプトを公開しました - あっきぃ日誌 akkiesoft.hatenablog.jp Pico W向けのCircuitPythonフラッシュストレージ小さすぎ問題 去年の12月からやりたいと考えていて、事前にネットワーク以外の部分をふつうのPicoで作り込んでおこうと思っていたものの、フォントをどうしようかなと思って少し調べたまま放置していました。
「Lunatic」という少し前から注目している技術があります。これは WebAssembly 上で動く Erlang にインスパイアされたランタイムで、Rust で実装されています。WebAssembly 形式でのバイナリを実行できる言語なら、どんな言語でもこのランタイムの上であれば理論的には動かすことができるようです。さまざまな言語のプラットフォームとして動く、セキュリティ面などの基本的な WebAssembly のメリットを享受することができます。 さて、Rust のエコシステムの一部として Lunatic を見てみると、Lunatic は tokio などと同様「非同期ランタイム」に位置付けられるものではないかと思います。下記の特徴をもつランタイムといえるでしょう。 Lunatic は WebAssembly を利用していることから、たとえば C とのバインディング時にもより安全に利
レゴブロックで整理する認証方式の段階/要素
おはようございます。ritouです。 Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2021 - Qiita 4日目の記事です。 前にこんなTweetをしてしまったので書きます。 参考記事 ITS SINGLE STEP NOT FACTOR — clarifying more FIDO terminology | by Ackermann Yuriy | WebAuthn Works | Nov, 2021 | Medium いろんなサービスで2段階認証やられてますね。FIDOだと2要素認証だと言われてます。でも、プラットフォームの生体認証使ったりセキュリティキーに生体認証載ったら一回のユーザーアクションでいけますよね?それって段階としては1ですか?要素は2?要素と段階どっちが強いんです?…みたいな混乱を解消するための記事で
κeenです。最近YubiKeyを買ったので色々試しています。今回はそのうちのWeb認証回です。 YubiKeyについて YubiKeyは米瑞企業のYubico社が販売している認証デバイスです。FIDOやらWebAuthnやらの文脈で耳にした方も多いんじゃないしょうか。YubiKeyは日本ではソフト技研社が販売代理店をしています。 YubiKeyはラインナップがいくつかありますが私が買ったのはYubiKey 5 NFCです。 YubiKeyでできることは色々あります。 FIDO U2F FIDO2 / WebAuthn Challenge and Response OATH-TOTP / OATH-HOTP Yubico OTP PIV OpenPGP 静的パスワード 参考:Yubikey 5をArchLinuxで使う - Qiita このうち今回はFIDO U2F、FIDO/WebAut
はじめに opは1PasswordのCLIツールで簡単なセットアップでCLIから1Passwordの機能を利用可能です。opで各種の操作を行うにはsignin コマンドで取得できるトークンが必要ですがこのトークン自体を管理する機能はopにはありません。そこで取得したトークンをキャッシュするラッパーツールを作成してみました。 opc 作成したツール(opc)のコードはGitHubで公開しています。 使い方は以下の通りです。ACCOUNT にはop signin listで表示されるアカウント名を指定します。 USAGE: opc [FLAGS] <ACCOUNT> FLAGS: -h, --help Prints help information --refresh force refresh token cache -V, --version Prints version informat
Haskell-style functional programming language running on Erlang VM. View the Project on GitHub hamler-lang/hamler The Hamler Programming Language Hamler is a strongly-typed language with compile-time typechecking and built-in support for concurrency and distribution. Hamler empowers industries to build the next generation of scalable, reliable, realtime applications, especially for 5G, IoT and edg
君達の資格情報は全ていただいた!
本記事は、 2019 年 10 月 3 日に Azure Active Directory Identity Blog に公開された記事 (All your creds are belong to us!) を翻訳したものです。原文は こちら より参照ください。 先日ですが、お客様がアカウント乗っ取り (ATO) の標的となり、我々のチームが支援したということがありました。SMS と Authenticator アプリを使用して 2 段階認証を必須にしてアカウントを保護していたにも関わらず、攻撃者はアカウントに侵入し、パスワードが変更されていました。 MFA は破られてしまったのです。 前回のブログでは、パスワードで攻撃は防げない こと、多要素認証 (MFA) であれば攻撃を防げることを解説しました。ただ、何人かの方が「MFA は万能薬ではない」とコメントくださりました。標的型攻撃など攻撃
背景 ゴリゴリ系エンジニア、pageoです。 最近エンタープライズでの大規模な新規開発PJによく参加するのですが、権限管理周りで沼にハマるPJの99%はシングルAWSアカウントだと気づきました。 そこで、自分の経験をもとに、後に権限管理などで苦労しない拡張性の高いマルチアカウント設計のpageo的ベストプラクティスについて解説したいと思います。 はじめに 想定読者 AWS初学者,SAA, CLF保有者 スタートアップのインフラ担当者 初めてAWSアカウントの運用担当になった開発者 前提知識 以下に、この記事を読むのに必要な前提知識を示します 各IAMサービスの理解 AWS Organizationsについての理解 Switch Roleの理解 AWS SSO(IAM Identity Center)の理解 各IAMサービスの参考記事 AWS Organizationsの参考記事 Switc
![[AWS]Organizationsにおけるマルチアカウント構成のベストプラクティスについて](https://cdn-ak-scissors.b.st-hatena.com/image/square/1e9f80ea1240e3a5dd92d25330c3bddd5384ca1d/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--l-jL9Jd2--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255BAWS%25255DOrganizations%2525E3%252581%2525AB%2525E3%252581%25258A%2525E3%252581%252591%2525E3%252582%25258B%2525E3%252583%25259E%2525E3%252583%2525AB%2525E3%252583%252581%2525E3%252582%2525A2%2525E3%252582%2525AB%2525E3%252582%2525A6%2525E3%252583%2525B3%2525E3%252583%252588%2525E6%2525A7%25258B%2525E6%252588%252590%2525E3%252581%2525AE%2525E3%252583%252599%2525E3%252582%2525B9%2525E3%252583%252588%2525E3%252583%252597%2525E3%252583%2525A9%2525E3%252582%2525AF%2525E3%252583%252586%2525E3%252582%2525A3%2525E3%252582%2525B9%2525E3%252581%2525AB%2525E3%252581%2525A4%2525E3%252581%252584%2525E3%252581%2525A6%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ARyuga%252520Irie%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzNkYTE4NjRiOTguanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
PGP (Pretty Good Privacy) の実装のひとつである GPG (GNU Privacy Guard) を使用して鍵を生成する方法をゼロから紹介します。 また、ファイルを暗号化・署名してやりとりする方法や、 Git のコミットに署名をつける方法、エンジニアフレンドリーなパスワードマネージャー Pass によるパスワード管理の方法なども紹介します。 メールでパスワードつき zip を送りたくない (送らせたくない) 人、クラウド型のパスワードマネージャーを信用できない人、自分の機密データは自分で守りたい人には多分おすすめの記事です。 PGP ・ GPG とは PGP (Pretty Good Privacy) は、公開鍵暗号方式で暗号化と署名ができるソフトウェアです。フィル・ジマーマンが開発し、その後 PGP の規格が OpenPGP として標準化されました。現代で PGP
【子育て】不登校と3つのお悩み事 - クマ坊の日記
娘は現在小学4年生。学校には行っていません。行かなくなってもう2年が経ちました。当初は私も妻も戸惑いましたが、いまは行かないことがすっかり我が家の日常になっています。安定はしていますが悩みもあるわけで。。。今日はそんなことを書いてみたいと思います。 娘の体力問題 勉強問題 妻のストレス問題 今を大切に 娘の体力問題 不登校になってお家時間が増えました。それに伴い娘の体力が低下しています。元々、食も細いので体型は痩せています。外に出て遊ぶことが少ないので、日光浴びている時間も少ないのも体には良くないかなと感じています。平日は妻が近所の買い物や図書館に連れ出して、外を歩く機会を増やしています。休みの日は、家族でお出かけです。モコを連れてドッグランが多いです。娘も自然と走りますから。ただこれだけでは足りないので、不登校になってから買ったのは室内用トランポリン。これはかなり重宝しています。実は幼稚
boto3と1Passwordを使って、AWSのMFA認証とスイッチロールを自動化してみた! | DevelopersIO
こんにちは!今回は、AWSのMFA(Multi-Factor Authentication)認証を使い、IAMロールにスイッチしながらS3バケットにアクセスするPythonスクリプトを紹介します。このスクリプトは、AWSのセキュリティベストプラクティスに従い、MFAを使用して一時的なセッションを取得し、S3バケットのリストを取得する方法を示しています。 さらに、1Passwordを活用してワンタイムパスワード(OTP)を自動的に取得する仕組みも組み込んでいるため、非常に便利で安全なアクセスが可能です。AWSのセキュリティを強化したい方や、MFA認証を自動化したい方に役立つ内容になっています。 背景 AWSでは、セキュリティを強化するためにMFAを使用することが推奨されています。MFAを使用すると、ユーザーは通常の認証情報(アクセスキーやシークレットキー)に加えて、ワンタイムパスワード(OT
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
MITMフィッシングによる2要素認証の回避
YubikeyでOpenPGP鍵をセキュアに使う | κeenのHappy Hacκing Blog
2021-02-09のJS: npm 7正式リリース、Vuex v4.0.0、Puppeteer v6.0.0
ワンタイムパスワードも突破 成功率8割うたう偽電話 - 日本経済新聞
クレカセキュリティ向上の3Dセキュア、なぜ導入が進まないのか? EMV 3-DSで普及の兆し
How to Yubikey: a configuration cheatsheet
lernaからlerna-lite + turborepoに移行する
SMS OTP で使われるメッセージの形式の歴史 - BASEプロダクトチームブログ
2020-07-21のJS: Chrome 84(SameSite Cookie)、Vue 3 RC、React Spectrum
2020-05-31のJS: Babel 7.10.0(Babel Polyfills)、Snowpack 2.0、Chrome 84β
「Chrome Tech Talk Night #16 〜 パスキー」まとめ
WebAssembly上で動くLunaticランタイムを使ったHTTPサーバーを実装する
YubiKeyとBitWardenで安心Web生活 | κeenのHappy Hacκing Blog
op(1password CLI tool)のトークンをキャッシュする | DevelopersIO
The Hamler Programming Language
[AWS]Organizationsにおけるマルチアカウント構成のベストプラクティスについて
GPG で始める暗号・署名ライフ - blog.livewing.net