パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~
ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単!けどこれ指紋認証だけ?弱くなってない? SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない。むしろSMS OTPがないぶんだけ弱くなった? この辺りについて整理します。 認証要素というと、次の3つです。 SYK: Something You Know. パスワード、PIN SYH: Something You Have. 認証アプリ、TOTP生成アプリ、バックアップコード、 SYA: Something You Are. 生体認証 前にこんな記事を書きました。 この内容を説明すると、「うん、わかってる」って人は多いです。 でも、実際に使ってみると心許なく感じたりする
パスワード変更用のURLを明示すためのwell-known URL for Changing Passwordsという仕様について
作成日 2023-05-31 更新日 2023-06-02 author @bokken_ tag well-known, appsec はじめに パスワード変更のためのURLを示すための、A Well-Known URL for Changing Passwords という仕様が存在する。¶ この仕様は主にクライアントサイドのパスワード管理ツールで使われる想定の仕様だ。¶ 本記事ではこの仕様がどういうものか、どういった利点があるのかについてまとめる。¶ パスワード管理ソフトとその課題 パスワード管理ツールはクロスサイトでのパスワードの再利用を防いだり、オートフィルをしてユーザビリティを高めてくれる良いツールだ。 ブラウザにもパスワード管理ツールが搭載されていたり、有名どころでは1PasswordやBitwardenのようなツールがある。¶ これらのツールの中にはパスワードの強度を教えてく
1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した
1Passwordを使って、ローカルにファイル(~/.configや.env)として置かれてる生のパスワードなどを削除した 最近、コミットはされないがローカルのディレクトリに置かれている.envのようなファイルから生のパスワードやAPI Tokenを削除しました。 これは、ローカルでマルウェアを実行した場合に、ローカルに置かれている生のパスワードやAPI Tokenを盗まれる可能性があるためです。 最近は、npm install時のpostinstallでのデータを盗むようなマルウェアを仕込んだりするソフトウェアサプライチェーン攻撃が多様化しています。 Compromised PyTorch-nightly dependency chain between December 25th and December 30th, 2022. | PyTorch What’s Really Goin
bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
ユーザーとパスワードの設定 | PostgreSQLではじめるDB入門
DBの基礎から設計の考え方、実践で役立つ知識などを図解を用いてわかりやすく解説しています。さらにPostgreSQLによりサンプルを交えながらSQLを使いこなすために必要な知識をまとめています。 PostgreSQLをインストールした時点で、自動的にデータベースの管理ユーザーであるpostgresユーザーが作成されます。ただ、このユーザーのパスワードは未設定の状態であるため、アカウントロック状態となっており、このままではrootユーザーからsuコマンドでスイッチする方法以外でのログインができません。 postgresユーザーのパスワード設定(OSユーザー) そこで、postgresユーザーでログインできるようにパスワードを設定しておきます。パスワードの設定は「passwd <ユーザー名>」コマンドで行えます。 # passwd postgres ユーザー postgres のパスワードを変
1Passwordの保管庫を安全な「OPVault」に変更する方法
PCはもちろんiPhoneやAndroidなどスマートフォンでも手軽に強固なパスワードを作りだし、使い回しなど煩雑になりがちなログイン情報の管理もラクになる大人気のパスワード管理アプリ「1Password」ですが、旧形式のAgile Keychainを利用していると問題があるとのことでセキュリティ界隈が賑わっているようです。 というわけで、1Passwordの保管庫を旧形式のAgile Keychainから新形式のOPVaultに変更する方法を書いておきます。 旧形式のAgile Keychainでは平文で一部の情報を閲覧できてしまうとの指摘 「Agile Keychain」と「OPVault」とは? 1Passwordではパスワード以外にもキャッシュカードや自宅の住所、Wi-FiのSSIDやパスワードなど様々な個人情報を「保管庫」に保存しています。 この保管庫には2種類の形式があって、「
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
はてなブログ | 無料ブログを作成しよう
わたし的棚ぼた一万円選書 急に千葉さんに手渡された封筒、開けてみたら1万円札が1枚。何ごとかと思えば、同期の出張を代わったお礼をもらったらしい。 「葵はワンオペで育児してくれたから」と半分わけてくれました。 泡銭の1万円 これはもう、わたし的1万円選書をしろという思し召しなのでは……
1Password : たくさんのログインIDやパスワード情報を一括管理!iPhoneをさらに便利に!1518 | AppBank
※この記事は寄稿記事です。 1Password はGmailやAmazonなどのログインIDやパスワード、さらにはクレジットカードの情報や住所を一括で管理し、簡単な操作でweb formに自動入力してくれるソフトです。たくさんのIDとパスワードがありすぎて、管理に疲れたという人にお勧めのアプリです。 Gmailページを参考に解説して行きます。 後半ではiPhoneユーザーならば誰でも使うMy softbankの設定方法を解説したいと思います。 まず最初に起動すると「Unlock Code」と「Master Password」を設定する画面が現れます。Unlock Codeは4つの数字を使い、1Passwordのメニューを開くために使います。Master Passwordは任意の英数字を使い、1PasswordがログインIDやパスワード、その他の情報を入力する際に用います。 どちらも大切な情
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Hash関数まとめ(md5, sha1, sha2, crc32, PBKDF2)
対話式のコマンドをスクリプト化する方法 - Qiita