7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - エキスパート - Yahoo!ニュース
セブンイレブンのスマホ決済「7pay」で、クレジットカード不正利用事件が起きています。まだ原因はハッキリしませんが、仕様に大きな弱点があることがわかりました。 メールアドレス・生年月日・電話番号がわかれば、第三者が7payのセブンイレブンアプリのパスワードを変更できることが判明したのです。 さらにSMS認証など2つ目の認証がないため、第三者が乗っ取ることも可能になります。 7payクレジットカード不正利用が7月3日から発生7月3日早朝から、セブンイレブンの7payでクレジットカード不正利用の被害が出ています。Twitterで複数の人が報告しているもので、3日午前中にはセブンイレブンも注意喚起を出しました。 7payに関する重要なお知らせ(セブンイレブン) クレジットカードからのチャージは止めていますが、決済機能自体は生きています。現時点では原因は発表されていません。 パスワードリスト攻撃(
高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
PCのロックさえ解除されていれば、サイトのログイン画面開いてパスワードが「●●●●」って自動入力されてるところを右クリックして「検証」 あとはコンソールに $0.value でパスワードが読める。エンジニアならPCのパスワードなんて使わないだろう。
FirefoxがついにChromeよりも高速なブラウザに
Treeherderは、Mozillaの開発するソフトウェアのテスト結果や、ウェブサービスや外部ツールで取り込んだデータを抽出・加工するETL機能などを有するウェブサイトです。このTreeherderに、Google ChromeとFirefoxのベンチマークテスト結果をまとめたデータが公開されました。これによると、FirefoxはChromeよりも高いスコアを出している、つまりは高速なブラウジングが可能なブラウザということのようです。 Perfherder https://treeherder.mozilla.org/perfherder/graphs?timerange=31536000&series=mozilla-central,3735773,1,13&series=mozilla-central,3412459,1,13 Firefox has surpassed Chrome
自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 セブン&アイHD/セブン・ペイ 2019年7月1日 [PDF] セブン&アイのバーコード決済「7pay(セブンペイ)」本日サービススタート! 2019年7月3日 【ご注意ください】ID・パスワードの管理について(削除済み) 7payに関する重要なお知らせ [PDF] 7pay に関する重要なお知らせ 2019年7月4日 チャージ機能の一時停止に関するお知らせ [PDF] 「7pay(セブンペイ)」一部アカウントへの不正アクセス発生によるチャージ機能の一時停止について 2019年7月5日 「7pay(セブンペイ)」に対する不正アクセスの件(第3報)セキュリティ対策の強化を目的とした新組織発足の
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
ドメインは、サービス終了ののちに失効したとみられ、GMOインターネットグループが展開するドメイン登録サービス「お名前ドットコム」内に開設されている「.jpドメインオークション」にて、オークション形式で出品されている。終了時刻は9月25日の午後7時。同日午後3時時点では40万円を超える入札が入っている。 もしドメインが第三者の手に渡ってしまうと、詐欺サイトや、ドコモ口座を模したフィッシングサイトが作られる可能性も考えられる。そのフィッシングサイトにかつて本物だったドメインが使用されているとすれば、ブラウザのセキュリティ機能をすり抜けたり、パスワード管理ツールが動いてID・パスワードを自動入力してしまったりする可能性も出てくる。 特に今回オークションに掛けられているドメインが金融サービスに関することから「税金で作ったサイトのドメインを手放して悪用されるのも大概だが、金融のドメインは本当にヤバい
「使える人にだけ使わせる」 ~ マネーフォワード IDのログインUXから見るパスキー普及のポイント - r-weblife
ritouです。 いよいよドコモさんもパスキー対応が始まりましたね!いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワード IDのパスキー対応に注目します。 corp.moneyforward.com (4/5追記) マネーフォワード側からも解説記事が出ていました。この記事で言いたいことが全部書いてあります。 moneyforward-dev.jp ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触れる前に、マネーフォワードIDのパスワード認証のUXから見ていきましょう。 マネーフォワードの「メールアドレスでログイン」のフローを何も考えずに使うと、最初にメールアドレスを入れてからパスワード入力を求めるUXになっています。 このようなUXでブラウザのパスワードマネージャーの機能を使う場
7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さらにはiOS版だと生年月日を登録なしにでき、その場合は2019/1/1が自動入力される仕組み(⇒生年月日を知らなくても突破される可能性すらある)。多少でもITをかじったことのある人間なら、あり得なさすぎて乾いた笑いしか出てこない状態。 第三者であっても「メールアドレス(セブンイレブンアプリに登録したもの)」「生年月日」「電話番号」がわかれば、パスワードを変更できる (中略) なんとiOS版では会員登録時に生年月日を登録なしにでき、その場合は「2019/1/1」が自動入力。つまり未登録の人
Microsoft、iOS/Mac/Windows/Android対応のパスワードマネージャー「Microsoft オートフィル」をリリース - こぼねみ
Microsoftは現地時間2月5日、iPhone、iPad、Mac、Windows PC、Androidデバイスなど、さまざまなデバイスでウェブサイトのパスワードを簡単に保存・同期・管理できる新しいAutofill(オートフィル)ソリューション「Microsoft オートフィル」を正式に発表しました。 「Microsoft オートフィル」はベータプログラムの一部としてすでに提供されていましたが、今後はMicrosoft Authenticatorアプリ、Google Chrome拡張機能、Microsoft Edgeを通じてすべてのユーザーが利用できるようになります。AppleのiCloudキーチェーンと同様に、Microsoft Autofillはパスワードを保存し、ウェブサイト上でパスワードを簡単に入力できるようになります。 Microsoft オートフィル Autofillとは自動
業務で使うツール(iTerm2,SequelPro,Chrome)をShellScriptでハイパーテクニックする - ハイパーマッスルエンジニア
業務で使うツール(iTerm2,SequelPro,Chrome)を ShellScriptでハイパーテクニックする はじめに この記事は今年イチ!お勧めしたいテクニック by ゆめみ feat.やめ太郎 Advent Calendar 2019の20日目の記事です。 今年は「お勧めテクニック」ということで、業務効率化ッ!!を盾に業務時間の30%はShellScript遊びに当てている私にピッタリな企画ですね、ありがとうございます。 今回は業務でよく使うツールを、ShellScriptでハイパーテクニックする方法をいくつかご紹介。 今回紹介するコードは全部Githubにあげているので実際に試したい人はどうぞ。 ハイパーテクニックする対象 GoogleChrome iTerm2 SequelPro GoogleChrome ブラウザに移動せずTerminalで自在にタブ移動する Web開発を
実案件から学んだ、本当に役立つUIデザインの法則50 ユーザビリティチェックリスト総集編|i3DESIGN Designers
「ユーザビリティチェックリスト」ということで、UIデザインの「あるある」を取り上げ、改善案とセットでまとめています。 今回は、10のヒューリスティクスをもとに分類してみました。10のヒューリスティクスについては、以前記事にまとめています。 具体的な事例を一緒に取り上げ、よりわかりやすく解説していますので、こちらもあわせてご覧ください。 また弊社ホームページにて、ユーザビリティチェックリストをダウンロードいただけます。こちらも合わせてご活用ください。 1. システムステータスの可視化(Visibility of system status)1-1. 入力項目が多いときはステップを分けるフォームの入力項目が多い場合は、項目をグルーピングして画面を分割しましょう。 フォームが長すぎると、ユーザーは入力を途中で辞めてページから離脱してしまうかもしれません。 その上で、ステッパーを設置して現在の進捗
Huaweiは米国により制裁措置を受けています。その影響によりGMS(Googleサービス)がすべて利用できない状態になっています。そんなP40 Proは実用できるのか。そして端末の出来はどうなのか。レビューしていきます。 外観 今更ですが一応外観を確認していきます。背面はつるつるしたガラス、カメラユニットはかなり大きめ。光の当たり方で色が若干変わるのがおしゃれですね。 側面は音量ボタンと電源ボタンのみ。反対側にはなにもありません。端子はUSB Type-Cのみ。イヤホンジャックはありません。上部にはIRセンサーがあります。 アプリ問題 初期設定は意外とすんなり行きました。Huaweiアカウントは所持していたので、それでログインするだけでOK。思っていたより普通に使えるのではないか?と思っていたのもつかの間。アプリインストールから徐々に雲行きが怪しくなっていきます。 GMS問題 ご存知の通
ID管理サービスや認証サービスなどを提供しているOktaが、個人向けのパスワードマネージャ「Okta Personal」を公開しました。 Okta PersonalはWebブラウザのプラグインなどと組み合わせて利用することで、Webサイトごとのパスワードの自動生成、パスワードの保存、ログイン時のIDとパスワードの自動入力などを行ってくれます。 現在ではソーシャルメディアから業務アプリケーションまで、多数のWebサイトにログインして利用することが一般的になっています。 このとき、推測されにくい十分な長さを持つ複雑なパスワードをWebサイトごとに重複しないように使い分けようとすると、現実的には記憶に頼るだけでは難しく、メモを取っておくなどパスワードを確実に記録しておく手段が必要となります。 一般にパスワードマネージャは、こうした推測されにくいパスワードの自動生成と安全な保存、そしてログイン画面
Goodpatch新卒UIデザイン研修の設計—ソフトウェアデザイン概論と基礎理論—|Goodpatch Blog グッドパッチブログ
Goodpatchでは職種ごとにさまざまな新人研修プログラムを用意しています。2020年の新卒UIデザイナー向けには、4月から6月にかけてUIデザインに関する基礎的な講義や演習、課題制作といった集中的な研修を行い、UIデザイナーとして必要な基礎知識を身につけてもらいました。 UIデザイン研修といってもいくつかにコースが分かれており、今回私が講師として担当した部分では「ソフトウェアデザイン」をテーマに講義を行いました。 以下の講義のうち私が担当した、ソフトウェアデザイン概論、インタラクションデザイン基礎、モードレスデザイン基礎、UIモデリング基礎について簡単にご紹介いたします。 UIデザイン研修—ソフトウェアデザイン編—講義シラバス ソフトウェアデザイン講義の設計 UIデザイン新人研修は全体構成を「ビジュアルデザイン編」「ソフトウェアデザイン編」と二分し、それぞれの専門性を深堀りできる形を採
*本記事は STORES Advent Calendar 2023 6日目の記事です こんにちは。セキュリティ本部のsohです。 現在、弊社ではスマホアプリ診断内製化の準備を進めています。 同じようにスマホアプリの脆弱性診断を内製化したい、というニーズがある会社は多く存在しますが、実際のところ、スマホアプリを対象とした脆弱性診断士の確保は困難であり、外部ベンダーの方にすべてお願いせざるを得ないケースも多いかと思います。 また、その情報の少なさから、スマホアプリ診断を実施したいと考えている開発者や脆弱性診断士にとっても、「何をやればいいのか」「何から始めればいいのか」がわからないものである場合は多いかと思います。 そこで、この記事では「スマホアプリ診断って実際何をしているのか」と疑問を持つ方をターゲットとして、一般的なスマホアプリ診断の検証要件や検証方法について解説します。 要件とガイドライ
Microsoft Power Automate DesktopでRPAを実現してみる 🌴 officeの杜 🥥
自分自身の個人的意見としては、エンドユーザコンピューティングは大いに結構だと思ってるけれど、一方で日本でジリジリと熱さが消えつつある国内の有象無象のRPAについては滅んだほうが良いとも思ってる。理由は後述するとして、本日良いニュースが発表されました。Power Automate Desktopについて追加費用無し無償で利用可能になるとのこと。これは既にあるMicrosoft365のEnterpriseプランなどに標準で利用できてるPower Automateのデスクトップ版のようで、Windows10に標準でついてくるようになるとのこと。 ということで、現時点のMicrosoft365で使えてるPower Automate Desktopを使ってみて、どんな感じなのか?またリリース後にその違いなどをここに記述していこうかなと思っています。また、Seleniumベースのウェブ自動化についても
iPhone全モデルと2020年以降のMacからパスワードやメールを盗み出す「iLeakage」が報告される、実際に動作するデモ映像もあり
すべてのiPhoneおよびiPadや2020年以降に登場したApple Silicon搭載Macが対象となる攻撃手法「iLeakage」がジョージア工科大学の研究チームによって発見されました。iLeakageを悪用するウェブサイトにアクセスした場合、ウェブサービスのパスワードやメールなどの情報を盗み出されてしまいます。 iLeakage https://ileakage.com/ iLeakageは必要になる可能性のある処理を事前に行うことでCPU性能の向上を図る技術「投機的実行」を悪用するタイプの攻撃で、iPhoneやiPadに搭載されているAシリーズチップおよびMacや一部のiPadに搭載されてるMシリーズチップに対して有効です。このため、すべてのiPhoneおよびiPadと2020年以降に登場したMacはiLeakageによる攻撃の対象となり得ます。 iLeakageは「ウェブサイト
フィッシングサイトへの自動入力のリスク SMS OTPとWebサイトが紐付かない状態では、正規のSMS OTPがフィッシングサイトへ自動入力されるリスクが生じる。現実的なリスクとして、GutmannらはMITMと組み合わせた「ログインにおける2要素認証の回避」と「ソーシャルログインの偽装による電話番号確認の回避」、「オンライン決済における取引認証の回避」の3つのシナリオを示している⁷。2要素認証の回避につながるリスクは、iOSの自動入力がPayPayの偽サイトで発動した前回の検証で確認している。今回の検証ではAndroidの自動入力がPayPalの偽サイトで発動するか確認する。 2要素認証の回避 PayPalの偽サイトは前回と同様にMITMフィッシングフレームワーク「Evilginx2」で複製し、一般利用者が誤ってアクセスしないようインバウンド接続を制御した。Android 11のChro
パスワードを決める画面でのアホなルールを集めたリポジトリ dumb-password-rules | 秋元@サイボウズラボ・プログラマー・ブログ
dumb-password-rules/dumb-password-rules パスワードの登録や更新画面で出てきたおかしな制約やエラーを募集している GitHub リポジトリがあります。 あほなパスワードの文字制限を分類 多数の事例が載っていますが、代表的なものをグループ化してみます。 文字種や記号を謎に制限 「% は使えません」「\ は使えません」 – 内部でエスケープしちゃうんですねわかります。ちゃんと作ってあればこんな特例要らないと思うんですが。 「記号で使えるのは ? ! $ €% & * _ = – +. ,:; / () {} [] ~ @ # だけです」 「記号はアンダースコアとハイフンだけ使えます」 「数字や記号は使えません」 「使える記号がありますが、どの記号が使えるかは秘密です」 「パスワードは5-15文字です(が、スペースは文字数としてカウントしません)」 「パスワ
経済産業省が中小企業のデジタル化の遅れを指摘する中、中堅・中小企業やスタートアップがデジタルを経営に活用するための道しるべを提供するイベント「中堅中小企業・スタートアップ DXカンファレンス 2023 夏」が開催されました。今回は、現場のDXを推進するモバイルアプリ作成ツール「Platio」を提供する、アステリア株式会社の大野晶子氏が登壇したセッションの模様をお届けします。アナログで人手に頼る業務が多い「現場」のDXを、IT人材なしで実現するポイントなどが語られました。 DX推進の3つのフェーズ 大野晶子氏(以下、大野):セミナーにご参加いただきありがとうございます。アステリアの大野と申します。本日は、「成功事例に学ぶアナログ業務をアプリで効率化! 2万円からはじめる『現場のDX』とは」についてお話しします。どうぞよろしくお願いいたします。 はじめに、当社アステリアについて紹介します。 1
7pay(7iD)のあまりに酷い仕様が判明したので不正利用されないように整理しておく【更新:二段階認証など小手先では解決できない、かなり深い問題の可能性】 - こぼねみ
7payの不正利用の問題が大きな話題となっています。 セブンイレブンは不正利用されたクレジットカードからのチャージは停止していますが、7payによる決済機能はまだ利用できる状態。 まだ7Payを利用していない方は、とりあえず利用開始をしないで不正利用の原因が判明し、完全に解決するまで待ちましょう。 すでに7payに登録してしまった方は、現時点分かっている問題点を確認し、パスワード変更やアカウント変更などで対処するしかなさそうです(むしろ退会してしまっても、とさえ思う)。僕も登録済みだったので調べてみました。 問題点については次の記事が詳しく、 7payクレジットカード不正利用:第三者乗っ取りがあり得る致命的な2つの弱点(三上洋) - 個人 - Yahoo!ニュース その中で指摘されているのは、 7iDのパスワードリセット(再発行)がセキュリティ上最悪な仕様に なっていることです。 メールア
2020年3月末頃より、Twitterの名前欄がメールアドレスになっているアカウントが国内外で複数発生していました。影響を受けたとされる方によれば、表示されていたメールアドレスはTwitterに登録したメールアドレスだったと報告されていました。その後Twitterでこの事象について注意を呼び掛けたところ参考となる情報を複数頂き*1、頂いた情報を元に検証を行ったところ、一部未確認の部分はありながらも概ね原因とみられる理由が判明したため、注意を呼び掛ける意味でここでは検証した情報をまとめます。 アカウント名が登録メールアドレスに 利用者が意図せずにTwitterの名前欄がメールアドレスに変更される事象が起きていた 潜在的な脅威として、表示されたメールアドレスはTwitterで使用されるログインID(登録メールアドレス)の可能性があり、なりすましやフィッシング詐欺のターゲットにされる恐れがある。
ritou です。 Developers Summit 2023にてパスキーについて講演させていただきました。 資料も公開しました。難しい話ではないです。 同じ時間帯の他の講演者の方々が豪華なのでワンチャン誰も聞いていなかった説がありますが、それもいいでしょう。とりあえず無事に終わりましたというところで、発表内容全部書き出してみたをやってみます。 講演内容 (省略) 今回の内容です。コンシューマ向けサービスにおけるこれまでの認証方式を振り返り、最近話題のパスキーとはどういうものかを紹介します。そして、実際に導入を検討する際に考えるべきポイントをいくつか紹介できればと思います。 早速、これまでのユーザー認証について振り返りましょう。 最初はパスワード認証です。知識要素を利用する認証方式であり、ユーザーとサービスがパスワードを共有します。 このパスワード認証を安全に利用するために、ユーザーとサ
1passwordのアイテム編集画面で、フィールドタイプを眺めててふと思った。「ワンタイムパスワードってあるけど、これ、AWSで多要素認証するときの『仮想MFAデバイス』に使えるのでは」と。結論から言えば、使えた。快適。でもこれは多分「人をダメにするナントカ」的な快適さだ。やっちゃいけないやつだ。 AWSでは、AWSアカウントの管理者であるrootユーザー(メールアドレスでログインする人)と、利用者であるIAMユーザー(ユーザーIDでログインする人)のどちらでも、多要素認証(MFA:Multi-Factor Authentication)を設定して認証を強化できる。 認証方法はパスワード認証+ワンタイムパスワード(当人が知っていること+当人が持っているもの) ワンタイムパスワードの生成には、専用のデバイスであるU2FセキュリティキーやハードウェアMFAデバイス、スマホアプリである仮想MFA
無料&Google Drive経由でKeePassのパスワードを同期できるプラグイン「KPSync for Google Drive」レビュー
無料で使えるオープンソースのパスワードマネージャー「KeePass」は、パスワード生成機能や二要素認証といった高度な機能を備えていますが、Google Drive経由でのデータベース同期にはデフォルトでは対応していません。無料のKeePass用プラグイン「KPSync for Google Drive」を使うと、KeePassのデータベースファイルをGoogle Drive経由で同期することが可能になります。なお、KPSync for Google Driveを利用するには、Windowsでバージョン2.35以上のKeePassを利用する必要があります。 KPSync for Google Drive™ | Secure sync automation with Drive. https://www.kpsync.org/ まずはプラグインのダウンロードページにアクセスして、「Downlo
サクッと時短! 新機能Chromeアクションを使って各機能を直接実行する方法2021.01.06 22:0020,670 David Nield - Gizmodo US [原文] ( たもり ) アドレスバーからタスクを直接実行できる、超絶便利な時短テク。 Chromeの最新バージョン「Chrome 87」にはとても便利な新機能、Chromeアクションが導入されました。これはブラウザのメニューをたどっていかなくても、ブラウザのアドレスバー(オムニボックス)からさまざまなツールや操作を直接実行できるようになる機能です。 この機能は徐々にロールアウトされるとGoogleが発表しているので、まだ見ることはないかもしれません。でも、Chromeが最新版に更新されているかどうかは、ブラウザメニューの「ヘルプ」-「Google Chromeについて」から確認しておきましょう。 Chromeアクション
Apple・Google・Microsoftが自社ブラウザよりもFirefoxを冷遇するために設けている技術的問題点をまとめたページ「Platform Tilt」をMozillaが公開
MicrosoftはWindows、AppleはiOSやmacOS、GoogleはAndroidやChromeOSといったPC・スマートフォン向けのOSを開発しており、Windows搭載PCではEdge、iPhoneやMacではSafari、Android端末やChromebookではChromeといった自社製ブラウザがプリインストールされています。こういったメーカーはサードパーティー製ブラウザよりも自社ブラウザを推奨するケースがあるのですが、それだけではなく技術的な問題を残しておくことで競合ブラウザを蹴落とそうとしているとFirefoxの開発元であるMozillaが指摘しており、関連情報をまとめた「Platform Tilt」というページを公開しています。 Platform Tilt - Mozilla https://mozilla.github.io/platform-tilt/ 記
パスキーのユーザー ジャーニー | Authentication | Google for Developers
KAYAK がパスキーでログイン時間を 50% 短縮し、セキュリティを強化した方法 Yahoo!JAPAN、パスキーの導入率を 11% に増やし、SMS OTP の費用を削減 Dashlane でパスキーによるログインのコンバージョン率が 70% 上昇 メルカリのパスキー認証でログインが 3.9 倍高速化 Google アカウントのパスキーのユーザー エクスペリエンスを設計する パスキーとパスワードの比較で、これまでにない認証速度を実現 「Google でログイン」の SDK Android 用認証情報マネージャー ウェブで Google でログイン(ワンタップを含む) iOS と macOS 用の Google ログイン 業界基準 パスキー OpenID Connect 以前のログイン Android でのワンタップ登録/ログイン Android 向け Google ログイン ウェブ向け
無料のパスワードマネージャー「Bitwarden」には別のサイトを埋め込んでパスワードを盗める欠陥があるとセキュリティ企業が報告
オープンソースの人気パスワードマネージャー「Bitwarden」には、ページの中に別のページを埋め込むiframeを用いてパスワードが盗むことができる欠陥があると、セキュリティ企業のFlashpointが報告しました。Bitwardenは2018年にはこの問題を認識していますが、iframeを使用する正当なサイトに対応するため修正しなかったとのことです。 Bitwarden: The Curious (Use-)Case of Password Pilfering | Flashpoint https://flashpoint.io/blog/bitwarden-password-pilfering/ Bitwarden flaw can let hackers steal passwords using iframes https://www.bleepingcomputer.com/n
GitHub.comにパスワードレス認証の導入
パスキーがパブリックベータ版にて利用が可能になりました。オプトインすることで、セキュリティキーをパスキーにアップグレードし、パスワードと2FA方式の代わりにパスキーを使用することができます。 セキュリティ侵害のほとんどは、珍しいゼロデイ攻撃によるものではなく、ソーシャルエンジニアリング攻撃、認証情報の盗用または漏洩、被害アカウントやその先のリソースへの広範なアクセス権を攻撃者に提供する手段など、低コストな攻撃によるものです。実際、私たち全員が頼りにしているパスワードは、データ漏洩の80%以上の根本原因となっています。 だからこそ、私たちGitHubは「ユーザーエクスペリエンスを損なわない」という約束を守りながら、すべての開発者が強固なアカウントセキュリティを担保できるよう支援しています。GitHub全体の取り組みとして2要素認証(2FA)の採用から始まり、本日よりパスキー認証をパブリックベ
» ド素人が「e-Tax」で確定申告したらブチギレかけた点 → 事前準備、QRコード、マイナポータルアプリ 特集 今年も確定申告の時期がやって来た。そこでJASRACから送られてきた著作権利用料(言わば印税)の支払調書を確認したところ、2023年分は22万4160円。私(中澤)の場合、著作権利用料は雑所得。つまり20万円を超えてるということは確定申告しないといけない。 だが、去年のようにJASRACの税務相談を利用しようとしたら予約でいっぱいだった。大人気。というわけで、自力でe-Taxでやってみることにした。 ・ド素人 ちなみに、私が確定申告したのは去年が初めて。でも去年はJASRACの税務相談で書類を作ってそのまま提出しただけなので、確定申告について何も分かっていないド素人と言って差し支えないだろう。 去年の経験で分かったのは、職場の源泉徴収票とJASRACの支払調書が必要ということく
デジタル社会のパスポートとも呼ばれるマイナンバーカードは、対面・オンラインでの本人確認を行うための様々な機能を有しています。 私は公共業界でデジタルアイデンティティに関する仕事をしているのですが、マイナンバーカードは調べても調べても知らない機能が出てきて、いまだに全容を把握しきれていませんでした。 そろそろちゃんと整理して理解しなければと思いまして、自分用のメモとして公開情報を調べながら、このnoteにとりまとめていきます。 おことわりこのnoteは私が個人的に調査した公開情報をまとめたものです。業務上知り得た秘密情報や非公開情報は含んでおりません。 マイナンバーカードの仕様理解については素人に毛が生えたレベルですので、抜け漏れや誤りがあったら優しく教えていただけると嬉しいです。 予想よりも機能が多すぎて、かなり長い記事になってしまいました。斜め読み、読み飛ばし推奨です。 今回は物理カード
令和元年度ぶんから、iPhoneとマイナンバーを使った確定申告が可能となりました。筆者も、iPhoneでの確定申告にチャレンジしてみました。 今年からiPhoneでの確定申告が可能に 国税庁は2020年1月31日から、iPhoneとマイナンバーカードを使った確定申告に対応しました。 昨年度まで、ネット経由での確定申告に必要なe-Taxを利用するには、パソコンとカードリーダーを用意する必要がありましたが、令和元年度の確定申告からは、AndroidスマートフォンとiPhoneからの確定申告が可能となりました。 なお、国税庁は、「感染症の感染拡大防止について」として、会場でのマスク着用や手洗いを推奨するとともに、e-Taxでの電子申告を利用するよう案内しています。 筆者は、iPhoneとマイナンバーカードを使った確定申告に挑戦しました。なお、医療費控除などを申告する場合、国税庁のWebサイトから
パスワード・セキュアな情報を管理するのに「1Password」が最高! - karaage. [からあげ]
1Passwordに課金しました ついに1Passwordに課金しました。「ついに」というのは、以前からずっと気になっていたからです。パスワード管理が。 プライベート、仕事問わず増え続ける(押しつけられる)、ID、パスワード、機密管理を求められる情報。最近は、何かしようとするとサービスに登録させられますし、仕事だと毎月「パスワードを変えろ」とか意味不明な指示をされますし、国からはマイナンバーとか、欲しくもないのに渡されて、誰にも見せるなとか理不尽なことを言われます。 そこにきて、最近多くなってきたのがパスワードの漏洩事故。「パスワード使いまわしていたらすぐ変えてください」って、バンバン使いまわしてます。もう嫌です、助けてください。でも、もしアカウント乗っ取られて、大事なデータが消されてしまったり、お金を引き出されてしまったらと想像すると、ゾッとしてしまいますよね。 そんなときに助かるのが、
![パスワード・セキュアな情報を管理するのに「1Password」が最高! - karaage. [からあげ]](https://cdn-ak-scissors.b.st-hatena.com/image/square/095cd98f1c44ae83c9616d461141a2e4e5af70c1/height=288;version=1;width=512/https%3A%2F%2Fcdn-ak.f.st-hatena.com%2Fimages%2Ffotolife%2Fk%2Fkaraage%2F20201205%2F20201205011431.png)
2022年12月26日 12時00分更新 文●EGセキュアソリューションズ株式会社 取締役CTO 徳丸 浩 編集●MOVIEW 清水 こんにちは。「KUSANAGI」の開発チームで取締役をしている相原です。 「KUSANAGI」はWordPressをはじめとするCMSを高速に動作させる仮想マシンです。わたしたちは「KUSANAGI」を開発して皆様にご利用いただくほか、お客様のWebサイトを「KUSANAGI」で運用しています。 この連載では、「KUSANAGI」の開発やお客様とのお話の中で感じた課題や実際の運用の中で得た知見などをお伝えしています。 今年もあとわずかとなってきました。連載25回目は、Webセキュリティの大家でプライム・ストラテジーの顧問でもある徳丸 浩先生に「Webセキュリティの2022年の振り返り」と題して寄稿をいただきました。今年を振り返りつつ、来年からのセキュリティに
macOSのSafari 15やiOS 15ではパスワードマネージャに2ファクタ認証用のTOTPを確認コードとして登録&自動入力することが可能に。
macOS/iOSのSafari 15ではパスワードマネージャにタイムベースのワンタイムパスワード(TOTP)を確認コードとして登録することが可能になりました。詳細は以下から。 Appleは現地時間2021年09月21日、iPhone 6sやiPhone SE(第1世代)以降のiPhone、iPad(第5世代)やiPad Air 2、iPad mini 4以降のiPad向けに 「iOS 15/iPadOS 15」を、macOS 11 Big SurおよびmacOS 10.15 Catalina向けに「Safari 15」をリリースしましたが、 このiOS 15/iPadOS 15およびSafari 15のパスワードマネージャでは、2ファクタ認証を求めるサイト用にタイムベースのワンタイムパスワード「TOTP (Time-based One Time Password)」を確認コードとして登録
この小さなタグが「パスワード多すぎ問題」を解決するかもしれない2024.01.30 20:0017,018 小暮ひさのり 全部覚えてられんもんね…。 さまざまなサービス、システムが展開されている現代。それらにログインするにしても、パスワードの流用はリスキー。サービスごとに異なるパスワードを利用することが推奨されています。 でもさぁ〜! 10も20も、規則性のない文字列を覚えてられないじゃん! ふつうはさ! ってなりますよね。なので定番のパスワードでいいかな。って妥協…は本当はよろしくないので、パスワードマネージャアプリ(1Password)や、機能(Googleパスワードマネージャー/iCloudキーチェーン)を利用している人も多いと思います。 そんなパスワードマネージャを、機器に置き換えたのが、わずか9gのこのタグ「PasswordPocket(パスポケ)」。 Image: エアリアパス
Dropboxから「パスワード管理アプリ」が出るぽいですね2020.06.09 14:0513,856 Victoria Song - Gizmodo US [原文] ( 岩田リョウコ ) ついに動き出した! Dropboxがパスワード管理アプリをローンチしました。その名はストレートに「Dropbox Passwords」。現在はまだベータ版で招待されないと使うことはできません。 機能としてはLastPassや1Passwordなどの既存のパスワード管理アプリと同じような感じみたいです。現在Google Play Storeでチラ見することができます。例えば、ウェブサイトやアプリにユーザーネームとパスワードを自動入力してくれる、新しいアカウントを作成する際には安全なパスワードを生成してくれる、複数のデバイスを同期してくれるなどです。今のところ2段階認証についての言及はありません。 Play
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PCのロックさえ解除されていれば、サイトのログイン画面開いてパスワードが..
パスワード管理/MFA管理の戦略
7payの不正利用についてまとめてみた - piyolog
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
「ドコモ口座」のドメインが第三者から購入可能な状態に 「本当にヤバい」「悪用される」と話題に
オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを
Huawei P40 Proレビュー。万人に推奨は到底不可能 - すまほん!!
Oktaが無料のパスワードマネージャ「Okta Personal」を公開
スマホアプリの脆弱性診断って何するの?(iOS編) - STORES Product Blog
SMS OTPの自動入力によるリスクとその対策
3日で作った業務アプリで「毎月最大550時間」の工数削減 非効率なアナログ作業が多い「現場」のDX成功事例
Twitterアカウントの名前が意図せずメールアドレスになる理由について調べてみた - piyolog
Developers Summit 2023にてパスキーについて講演しました
AWSの多要素認証に1passwordが使えたけど使っちゃダメだと思った話 - Qiita
サクッと時短! 新機能Chromeアクションを使って各機能を直接実行する方法
ド素人が「e-Tax」で確定申告したらブチギレかけた点 → 事前準備、QRコード、マイナポータルアプリ
マイナンバーカードの機能が多すぎる!|MORIDaisuke
【レポート】iPhoneとマイナンバーカードで確定申告してみました - iPhone Mania
Webセキュリティの2022年の振り返り
この小さなタグが「パスワード多すぎ問題」を解決するかもしれない
Dropboxから「パスワード管理アプリ」が出るぽいですね