タグ

関連タグで絞り込む (274)

タグの絞り込みを解除

authenticationに関するtsupoのブックマーク (223)

  • OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も

    OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo

    OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
    tsupo
    tsupo 2014/05/08
    「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できる / Covert Redirect脆弱性の場合、本物のサイトアドレスを使って許可を求める
  • 「@nifty」ログインにワンタイムパスワード認証--ID不正利用を防止

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます ニフティは3月24日、「@nifty」のログインにワンタイムパスワード認証を導入した。ワンタイムパスワード認証の利用は無料で、ユーザーの任意で設定できるが、ニフティでは「より安心・安全にサービスを利用するためにも設定を勧める」としている。 ワンタイムパスワード認証は、PCやスマートフォンのウェブブラウザ上のログイン画面で、@niftyユーザー名か@nifty IDと、従来のパスワードで認証した後に、自動的に発行される1回限り有効な使い捨てパスワードを入力する。 ワンタイムパスワードの発行は、ニフティが提供する専用スマートフォンアプリ(iOS/Android対応)か、ユーザーが指定するメールアドレスを通じて行われる。もしIDとパスワードの

    「@nifty」ログインにワンタイムパスワード認証--ID不正利用を防止
    tsupo
    tsupo 2014/03/25
    ユーザー名かIDと、従来のパスワードで認証した後に、自動的に発行される1回限り有効な使い捨てパスワードを入力 / 一度ワンタイムパスワードで認証した端末は、次回以降ワンタイムパスワードの入力を省略可能
  • ついに「OpenID Connect」仕様が標準化

    米OpenID Foundationは2014年2月26日、さまざまなWebサイトやモバイルアプリケーションの間で、適切な相手にデジタルアイデンティティ情報を流通させるための技術である「OpenID Connect」の仕様を最終承認した。これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日語訳を公開している。 Webサービスやモバイルアプリケーションの普及に伴い、多様で便利なサービスを利用できるようになった半面、管理すべきIDとパスワードも増加した。その結果、エンドユーザーがさまざまな煩雑さを強いられたり、パスワードの使い回しによるセキュリティリスクが増大するといった課題も浮上している。 OpenID Connectは、こうした課題の解決を目指し、OAuth 2.0をベースにして策定されたAPI仕様だ。ユーザーとサイトが常に1対1で認証を行う代

    ついに「OpenID Connect」仕様が標準化
    tsupo
    tsupo 2014/02/28
    OpenID Connect」の仕様を最終承認 / これに合わせてOpenIDファウンデーション・ジャパンは、OpenID Connect仕様群の日本語訳を公開
  • 2013年のアキレス腱だったパスワード--2014年はどうなる?

    John Fontana (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2014-01-08 07:30 2013年には、多くの人がパスワードを盗まれた。中には、盗んだ人もいるだろう。 米国防高等研究計画局(DARPA)の遺物であるパスワードは、かつては各自の頭の中にある秘密だった。しかし2013年には、盗まれたパスワードダンプを晒すPastebinやDump Monitor、そしてインターネットのさまざまなブラックホールでハッカーにもてあそばれる情報へと、簡単に変わるということが度々起こった。 新しいクラッキングツールでは55文字までのパスワードを解読することが可能になっており、IT部門やエンドユーザーはパスワードを使った方法はもう終わりだと感じつつある。 無数のパスワードが、Adobe(3800万件)、MacRumors(86万件)、Ubuntuのフォーラム(1

    2013年のアキレス腱だったパスワード--2014年はどうなる?
    tsupo
    tsupo 2014/01/10
    「認証情報を何度も入力する必要のある現在の2要素認証に抵抗が出てくる / パスワードハッキングによるエンドユーザーの被害がいくら増えても、この抵抗が消えることはない → 生体認証に期待」という流れ
  • 不正ログインを食い止めろ! OpenAMで認証強化

    不正ログインをい止めろ! OpenAMで認証強化:OSSによるアイデンティティ管理(2)(1/2 ページ) 多発するパスワードリスト攻撃による不正ログインに対しては、リスクベース認証やワンタイムパスワード認証を含む多要素認証が効果的です。今回はオープンソースのアクセス管理ソフトウェアであるOpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説します。 連載目次 不正ログインに対して今できること 2013年に入ってから多発しているパスワードの使い回しを狙った不正アクセス(不正ログイン)は、半年近く経った今も継続して発生しています。このような状況を受け、「パスワードを使った認証は限界」といった声も聞かれるようになっていますが、パスワードを使わない新しい認証方式を今すぐ全

    不正ログインを食い止めろ! OpenAMで認証強化
    tsupo
    tsupo 2013/10/24
    OpenAMの概要と、OpenAMが提供するリスクベース認証(アダプティブリスク認証、デバイスプリント認証)、ワンタイムパスワード認証(OATH/YubiKey認証)について解説
  • Motorola、タトゥーと錠剤を用いる新たな認証手段を研究---英メディアの報道

    Google傘下のMotorola Mobilityは、タトゥーや錠剤を用いた認証手段を研究している。複数の英メディア(TelegraphやRegister)が現地時間2013年5月31日に報じた。 MotorolaのDennis Woodside最高経営責任者(CEO)は米Wall Street Journalの技術系情報サイト「AllThingsD」が主催するカンファレンス「D11」で、スマートフォンに体を近づけるだけでユーザー認証が行える将来的な手段として電子タトゥーを紹介した。 電子タトゥーは米MC10が開発したもので、センサーやアンテナなど柔軟に曲がるチップで構成され、ゴムスタンプで皮膚に貼り付ける。同カンファレンスでは米国防省の国防高等研究事業局(DARPA)からMotorolaに加わったRegina Dugan氏が実際にこの「バイオスタンプ」を腕に付けて登場し、スマートフォ

    Motorola、タトゥーと錠剤を用いる新たな認証手段を研究---英メディアの報道
    tsupo
    tsupo 2013/06/03
    電子タトゥーは、センサーやアンテナなど柔軟に曲がるチップで構成され、ゴムスタンプで皮膚に貼り付ける / 錠剤は、胃酸を電力として利用し、18ビットの心電図(ECG)信号のような電気信号を発生する ///
  • アマゾン、シングルサインオン機能「Login with Amazon」を公開

    Amazonは米国時間5月29日、Facebookなどのインターネット企業の先例に倣って、シングルサインオン機能「Login with Amazon」を公開した。このサービスの目的は、ユーザーが自分のAmazonアカウントを使ってさまざまなウェブサイトやアプリ、ゲームにアクセスできるようにし、複数のパスワードを使う必要性を軽減することだ。 現在あらゆる開発者に公開されているLogin with Amazonは、ZapposやWootといったAmazon傘下のサイトで既に利用可能だ。Amazonによると、両サイトでは、早々に採用されたLogin with Amazon機能にユーザーが強い反応を示しており、Zapposの新規顧客の40%は新規アカウントを作成する代わりにAmazonアカウントでサインインする方法を選択しているという。 AmazonのEコマースサービス担当バイスプレジデントである

    アマゾン、シングルサインオン機能「Login with Amazon」を公開
    tsupo
    tsupo 2013/05/30
    シングルサインオン機能「Login with Amazon」を公開 / 自分のAmazonアカウントを使ってさまざまなウェブサイトやアプリ、ゲームにアクセスできるようになる / ZapposやWootですでに利用可能
  • “ソーシャルフィンガープリンティング”という矛盾を孕んだテクノロジ

    印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます キャッシュカードの不正利用を防止する技術として指紋認証というのがある。この認証方式が有効であるのは、指紋のパターンが人によって異なっているからだ。 そして、指紋認証(フィンガープリンティング)という言葉の接頭辞としてソーシャルを冠したサービスが開発されつつある。これを“ソーシャルフィンガープリンティング”と呼ぶ。これは、ソーシャルネットワーク上でのプロフィールや振る舞いが個々人にユニークであることに目を付けて、これを認証技術に応用しようというものだ。 Trustev(トラスティブ)のビジネスモデル Trustevは、2012年にアイルランドで設立されたスタートアップで、先月末にニューヨークで開催された「Disrupt NY 2013」の

    “ソーシャルフィンガープリンティング”という矛盾を孕んだテクノロジ
    tsupo
    tsupo 2013/05/07
    個人のプロフィールや行動特性は、指紋と同様に複製ができない。つまり、盗むことができないという前提 / 今や、最も盗まれてはならないのは、ソーシャルネットワークのログインIDとパスワードであるかもしれない
  • OAuth 2.0 App-Only (Bearer Token)

    <g> <g> <defs> <rect id="SVGID_1_" x="-468" y="-1360" width="1440" height="3027" /> </defs> <clippath id="SVGID_2_"> <use xlink:href="#SVGID_1_" style="overflow:visible;" /> </clippath> </g> </g> <rect x="-468" y="-1360" class="st0" width="1440" height="3027" style="fill:rgb(0,0,0,0);stroke-width:3;stroke:rgb(0,0,0)" /> <path d="M13.4,12l5.8-5.8c0.4-0.4,0.4-1,0-1.4c-0.4-0.4-1-0.4-1.4,0L12,10.6L6.2

    OAuth 2.0 App-Only (Bearer Token)
    tsupo
    tsupo 2013/03/12
    ユーザーごとの認証とは別の、アプリケーション自身による認証の仕組み
  • 【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト

    2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):

    【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
    tsupo
    tsupo 2013/03/01
    iOSのデフォルトアプリが漏れてるのはめちゃくちゃやばい気がする
  • わかりやすく解説 あなたのGmailを「2段階認証」で守れ! (1/3)

    ここ最近、「Googleアカウントが乗っ取られてスパム送信の踏み台にされた!」といった報告が各所で相次いでいる。実際に筆者の比較的身近でも、同様の報告があった。これまでどおりの運用を続けて「まさか自分が……」という事態に陥らないためにも、セキュリティ強化のための対策として「2段階認証」(2-Step Verification)導入の検討をお勧めしたい。この記事では2段階認証の仕組みと、実際の設定方法について、わかりやすく解説してみた。 そもそも「2段階認証」とはなんぞや? Gmailなどのサービスを利用する場合、通常はGoogleアカウントのログイン時に「アカウント名」(ID)と「パスワード」を入力し、これで認証を行なう。ただし、Googleに接続できるオンライン環境であれば、どこからでもサービスにアクセスできるため、IDとパスワードのセットが盗まれたり、あるいはIDのみを入手した悪意ある

    わかりやすく解説 あなたのGmailを「2段階認証」で守れ! (1/3)
    tsupo
    tsupo 2012/12/28
    キャリアメールアドレスのない人はどうすれば…… → と思ったら、ウィルコムのメールアドレスにもちゃんと対応してました。よかったw
  • ssig33.com - OAuth とか OpenID とかのフローを利用してフィッシングする話

    はじめに。これは霊界に住む死者からの通信に基き書かれた記事です。しかし文責は私にあります。 OpenID はパスワードの授受なしに認証の伝達が出来る仕組みです。 OAuth はパスワードの授受なしでリソースへのアクセス権限を委譲出来る仕組みです。 こうした仕組みを用いて外部サイトと連携している限り、外部サイトへパスワードなどが流出する可能性は低いです。また外部サイトが所有する OAuth の token などが外部に流出たとしても、サイトの利用者や OAuth を提供するプロバイダーがその token を早期に無効にすることが出来ます。 しかしセキュリティへしっかり配慮されて作られた OpenID や OAuth をパスワードを抜く為のフィッシングに使用することが出来ます。以下のような具合です。 OpenID 経由で外部サイトにログインしようとする/OAuth を使用して外部サイトに権限を

    tsupo
    tsupo 2012/10/10
    ログインしてない状態で OAuth の手順をはじめようとしたときに飛ばされるログインフォームを偽装した攻撃の話。
  • RFCとなった「OAuth 2.0」――その要点は?

    RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O

    RFCとなった「OAuth 2.0」――その要点は?
    tsupo
    tsupo 2012/09/11
    「残念ながら現状では、すべてのOAuth Serverが仕様通りにクライアントタイプの使い分けを行っているわけではなく、OAuth Clientの開発者に混乱を生じさせている」
  • Yahoo! JAPAN IDを守る「ワンタイムパスワード」がついに登場

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDサービス ID厨の渡邉 康平です。今回、ワンタイムパスワード(One Time Password, OTP) を導入しましたのでご紹介します。 はじめに最近、インターネット上ではパーソナライズされたwebサービスが多く存在し、そこでは様々な顧客情報を扱っています。もしフィッシングなどによりアカウントのパスワードが盗まれた場合のダメージは図り知れません。 Yahoo! JAPANでは、今まで様々な体制で顧客情報の保護対策をしてきましたが、従来のセキュリティではIDとパスワードの組み合わせだけで、まだまだ十分とは言えません。そこで、セキュリティをより強固なものにする為に新しくワンタイムパスワードを8/20(ヤフーの日)

    Yahoo! JAPAN IDを守る「ワンタイムパスワード」がついに登場
    tsupo
    tsupo 2012/08/21
    メールアドレスに送られてくるワンタイムパスワードを確認する / 確認したら、表示されているワンタイムパスワードを下記のようなログイン画面に入力する → 盗聴されたら終わりじゃね?
  • ワンタイムパスワード - Yahoo! JAPAN IDガイド

    ワンタイムパスワードを設定すると、万が一他人にパスワードを知られてしまっても、不正ログインの危険を回避できます。 ワンタイムパスワードとは? ログインのたび認証画面が表示され、ワンタイムパスワードが発行されます。人のみが受け取れ、1回限り有効な時間制限のあるパスワードのため盗まれるリスクが著しく低く安全です。

    ワンタイムパスワード - Yahoo! JAPAN IDガイド
    tsupo
    tsupo 2012/08/21
    利用者本人のメールアドレスに届くので、本人以外は受け取れません → どうも平文で届くのではないかと予感させる書き方してるなぁ。こわすぎて試せない
  • Yahoo!JAPANが「ワンタイムパスワード認証」を導入

    ヤフーは2012年8月20日、同社が運営するポータルサイト「Yahoo!JAPAN」へのログイン方法に、ワンタイムパスワード認証を導入した。利用は無料。同社サイトで利用設定を行うと、従来のYahoo!JAPAN ID/パスワードによる認証成立後にワンタイムパスワードの入力を求められるようになる。 ワンタイムパスワード認証とは、自動生成される1回限り有効な使い捨てパスワードを入力してユーザーを認証する方法である。Yahoo!Japanでワンタイムパスワードの利用を設定すると、ID/パスワードによるログイン操作のたびに、あらかじめ指定したメールアドレスにワンタイムパスワードを記したメールが届くようになる。 ワンタイムパスワードを使って、ユーザーはPC、スマートフォンのWebブラウザで利用できるすべてのYahoo!JAPANサービスへログイン可能だ。一度、ワンタイムパスワードでログインしたPC

    Yahoo!JAPANが「ワンタイムパスワード認証」を導入
    tsupo
    tsupo 2012/08/21
    ID/パスワードによるログイン操作のたびに、あらかじめ指定したメールアドレスにワンタイムパスワードを記したメールが届く → まさか、平文で届くとかないよね?
  • Twitterアカウント乗っ取り問題を検証中

    まとめ Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求 とあるTwitterのアカウントがハックされる(?) ↓ Tweetを一気に消すアプリ「黒歴史クリーナー」のoauth認証が勝手にされる ↓ ハックされた人のTweetが消えてしまった ↓ ハックされた人が黒歴史クリーナーのサービス全停止を作者に求める「二次被害を防ぐため」 oauthは便利だけど仕組みがわかってないと誰に責任があるのかというのが認識しにくいという欠点がありますね。 580161 pv 5370 625 users 366

    Twitterアカウント乗っ取り問題を検証中
    tsupo
    tsupo 2012/07/20
    例の「黒歴史を消すはずの黒歴史クリーナーによって黒歴史を作ってしまった人」の件を検証する流れ
  • Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求

    とあるTwitterのアカウントがハックされる(?) ↓ Tweetを一気に消すアプリ「黒歴史クリーナー」のoauth認証が勝手にされる ↓ ハックされた人のTweetが消えてしまった 続きを読む

    Twitterのアカウントがハックされた人が外部アプリの作者にサービスの全停止を要求
    tsupo
    tsupo 2012/07/20
    これはいつまで経っても平行線だな
  • ヤフー、不正利用を防止する新機能「シークレットID」

    ヤフーは5月22日、Yahoo! JAPAN IDの不正利用を防止するための新機能「シークレットID」を提供開始した。Yahoo! JAPAN IDやニックネームとは別に、ログイン時にのみ使用できる秘密のログイン専用IDとなっており、登録情報ページから設定できる。 一般的にウェブサービスにログインする際には、IDとパスワードの入力が求められるが、IDには公開情報である自身のアカウント名やメールアドレスが使用されていることが多い。これについてはYahoo! JAPANも同様であり、公開情報からIDが特定され不正利用されるリスクがあったことから、新機能を実装したという。 シークレットIDを適用すると、これまでログイン時に使用していたYahoo! JAPAN IDやニックネームではログインできなくなり、シークレットIDでのみログインできるようになる。シークレットIDを使用しない場合は、従来通りY

    ヤフー、不正利用を防止する新機能「シークレットID」
    tsupo
    tsupo 2012/05/22
    公開情報からIDが特定され不正利用されるリスクがあったことから、新機能を実装した → 当然のことながら、この「シークレットID」は他人に知られないようにする必要がある
  • 新機能「シークレットID」を使ってみよう

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括部 IDプラットフォームチームのID厨の一人、山口修司です。シークレットIDという新機能をリリースしましたのでご紹介します。 はじめに ここ最近、プライバシーやセキュリティに関する事件のニュースをよく耳にするようになっています。インターネット上でのプライバシーやセキュリティに関する意識が高まりつつあり、ID・パスワードの流出などを心配されている方も少なくないのではないでしょうか。Yahoo! JAPANでは企業の社会的責任として、しっかりとした体制で顧客情報の保護対策をしていますが、フィッシング行為やIDのパスワードをクラックされるなどのリスクはゼロではありません。Yahoo! JAPANではこれまでもYa

    新機能「シークレットID」を使ってみよう
    tsupo
    tsupo 2012/05/22
    シークレットIDとは、Yahoo! JAPAN IDやニックネームとは別物で、ログイン時にのみ使用する秘密のログイン専用ID / PCやモバイル・スマートフォンのログインページ、メールのPOP/SMTPアクセスの認証にも適応