SMSの2要素認証は脆弱なのか? - Fox on Security
米国大手のソーシャルニュースサイトRedditが不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com ■公式発表 We had a security incident. Here's what you need to know. Redditは、システムが侵入を受け、ユーザーデータに不正アクセスされたことを明らかにした。被害に遭ったのは、現在も使われているメールアドレスやソルト付きのハッシュ化されたパスワードなど、2007年のデータベースバックアップに含まれていたデータだ。 Redditは米国時間8月1日、ハッカーがSMSの傍受を通じ、6月14日から18日にかけていくつかの従業員アカウントにアクセスしたとユーザーに報告した。Redditが攻撃に気づいたのは6月19日で、その後に脅威を緩和し、再びこうしたことが起こらないようにシステムとプロセスを改善し
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(1/3 ページ) ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、
2段階認証の種類、長所と短所:SMS、2段階認証アプリ、YubiKey
なぜSMSを使った2段階認証が最善の選択肢ではないのか、その他にどのような選択肢があるのか、考えてみましょう。 長らくコンピューターマニアの領分だった2段階認証(2FA)ですが、ここ数年、ようやく日常的な話題として上がるようになってきました。しかし、そのほとんどが、SMS経由で送られるワンタイムパスワードを使った2段階認証の話に留まっています。悲しいことに、これがいちばん信頼できる選択肢というわけではないのです。理由はいくつかあります。 ロック画面上に通知を表示する設定になっている場合、SMSで送信されたパスワードは簡単にのぞき見られてしまいます。 通知をオフにしてあっても、SIMカードを別のスマートフォンに移し替えられてしまった場合、移し替えた先のスマートフォンで、パスワードの書かれたSMSメッセージが見られてしまいます。 スマートフォン内に潜むトロイの木馬に、パスワードが書かれたSMS
ボットと人間を自動的に見分ける「reCAPTCHA v3」のダークサイドとは?
by Jonny Lindner ウェブサイトの認証画面で「私はロボットではありません」にチェックを入れたり、信号機や横断歩道の画像を選んでクリックしたりした経験がある人は多いはずですが、最新版のボット排斥ツール「reCAPTCHA v3」なら人間のユーザーは「何もしなくても」自分が人間だと証明することが可能です。しかし、そんな「reCAPTCHA v3」にはあるやっかいな点があるとIT系経済メディアFast Companyが警鐘を鳴らしています。 Google's new reCaptcha has a dark side https://www.fastcompany.com/90369697/googles-new-recaptcha-has-a-dark-side Googleが提供するボット排斥ツールの新バージョン「reCAPTCHA v3」は、リスク分析エンジンによりサイト内で
A better zip bomb
Compression bombs that use the zip format must cope with the fact that DEFLATE, the compression algorithm most commonly supported by zip parsers, cannot achieve a compression ratio greater than 1032. For this reason, zip bombs typically rely on recursive decompression, nesting zip files within zip files to get an extra factor of 1032 with each layer. But the trick only works on implementations tha
エンジニアの中途採用のパイプラインあれこれ - 室長のひとりごち
御多分に漏れず、担当するチームもエンジニアを募集している。いくつかの転職サイトや人材紹介サービスやリファラルなどを使う。体感的にリファラル採用が最強ではあるが、それぞれ次の印象を持っている。 転職サイト 転職ドラフトなどのエンジニアのキャリアや保有スキルとチームの仕事のスキルセットのどこの部分をカバーできそうか期待できるとコンタクトする。こちらから、直接エンジニアにお声がけできるのでその辺のオペレーションは良い。転ドラは期間があるので業務多忙時は忙しなくてどうにもという感じ。転ドラに書かれるエンジニアさんは、業務の経験は書かれるとして、その業務を介してどのようなスキルとスキルのレベルを身につけられた(そのスキルはいつでも発揮できるよ)かをアピールされるといいと思う。特にスキルレベルはロールとひもづけたくなるので、採用側もこのポジションで来て欲しいと妄想するので。 人材紹介サービス 間にエー
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
https://jp.techcrunch.com/2019/07/05/7pay-unauthorized-access/
GitHub - jesseduffield/lazydocker: The lazier way to manage everything docker
GitHub - frenic/csstype: Strict TypeScript and Flow types for style based on MDN data
