Two Factor Auth | BrainStation®Full-Time or Part-Time Bootcamps Our award-winning bootcamps will help you launch a new career in tech in-person or online. You can attend our bootcamps full-time or part-time.
2段階認証ノススメ (まとめ) - セキュリティは楽しいかね? Part 2
(2013-08-07 更新あり) 主要なサービスで 2段階認証に対応する動きが拡がってきたので、ちょっとまとめておきます。金融系のサービスやマイナーなものはいれてません*1。こうやって並べて比べてみると、細かいところで違いがあっておもしろいですね。なお現時点で Appleと Twitterは日本ではまだ正式対応されていません。 (注: Twitterは 8/7にアプリを利用した認証方式に対応し、日本でも利用できるようになりました。) サービス 名称 認証アプリ SMS/メール/音声 アプリ用パスワード 信頼できる端末 復旧用コード Apple 2段階認証 (two-step verification) ◯ (*1) SMS (*4) - ◯ ◯ Dropbox 2段階認証 (two-step verification) ◯ (TOTP) SMS - ◯ ◯ Evernote 2段階認証
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
ログアウト機能の目的と実現方法
このエントリでは、Webアプリケーションにおけるログアウト機能に関連して、その目的と実現方法について説明します。 議論の前提 このエントリでは、認証方式として、いわゆるフォーム認証を前提としています。フォーム認証は俗な言い方かもしれませんが、HTMLフォームでIDとパスワードの入力フォームを作成し、その入力値をアプリケーション側で検証する認証方式のことです。IDとパスワードの入力は最初の1回ですませたいため、通常はCookieを用いて認証状態を保持します。ログアウト機能とは、保持された認証状態を破棄して、認証していない状態に戻すことです。 Cookieを用いた認証状態保持 前述のように、認証状態の保持にはCookieを用いることが一般的ですが、Cookieに auth=1 とか、userid=tokumaru などのように、ログイン状態を「そのまま」Cookieに保持すると脆弱性になります
Yahoo! JAPANがワンタイムパスワードを実装したようです - r-weblife
こんにちは, ritouです. この前は気のせいかと思っていたのですがリリースされていたようです. Yahoo! JAPAN IDを守る「ワンタイムパスワード」がついに登場 - Yahoo! JAPAN Tech Blog ワンタイムパスワード(OTP) - Yahoo! JAPAN IDガイド スマートフォンからの使い方がブログで説明されているようですので、PC画面の方を試してみました。 ワンタイムパスワードの説明 さっそくログインして上記URLにアクセスします. すると説明画面が出てきました. ワンタイムパスワードは毎回メールで送る 確認済みメールアドレスのうちのどれかを設定できる PC/スマートフォンからのログインに対応 というように書いてあります. 名前にログインなんちゃらというネーミングをつけないところも新鮮! Cookieが普通に使える環境が対象ということでしょう. メール周り
情報セキュリティ技術動向調査(2011 年下期):IPA 独立行政法人 情報処理推進機構
SP 800-63-1文書[1]は、米国NIST(National Institute of Standards and Technology:国立標準技術研究所, NIST)が発行するSP(Special Publications)シリーズのひとつであり、米国OMB(Office of Management and Budget:行政管理予算局)が米国各省庁および各政府機関長官宛に発行したガイダンスOMB M-04-04「連邦政府機関向けの電子認証にかかわるガイダンス(E-Authentication Guidance for Federal Agencies)」を上位ポリシーとしたガイドラインである。 ガイドラインはOMB M-04-04にある4レベルの保証をベースに、認証に係る作業(登録、本人確認、トークン、認証プロトコル)について記載されている。 SP 800-63自体は2004年
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Firefox、ログインの常識を変える「BrowserID」を発表 | エンタープライズ | マイコミジャーナル
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
ID連携がもたらす決済分野でのビジネスの可能性は? | ペイメントナビ
2011年7月12日7:40 海外におけるID連携の最新動向は? 米国政府では、「NSTIC」という国家プロジェクトを実施 一般社団法人OpenIDファウンデーション・ジャパンは、国内におけるOpenID技術の普及・啓蒙活動を行っており、2011年7月現在、48社の会員が参加している。今回は事務局長の山中進吾氏に、海外の状況も踏まえ、ID連携がもたらす決済分野でのビジネスの可能性について説明してもらった。 Open IDファウンデーション・ジャパン PayPalはAPIを一新し、 細かい属性を加盟店に提供へ OpenIDファウンデーション・ジャパン 事務局長 山中進吾氏 ID連携は、eコマースサイトなどに対し、ユーザーの同意に基づいてID情報をサービス間で交換することです。自社のIDを外部に提供し決済できるサービスとして、楽天の「楽天あんしん支払いサービス」、ヤフーの「Yahoo!ウォレッ
TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された - F.Ko-Jiの「一秒後は未来」
これまでTwitterのOAuth認証にはアクセスレベルが「Readのみ」「ReadとWrite」という2段階しかなく、認証を許可してしまうとダイレクトメッセージの内容までアプリケーション側から読めてしまうという問題がありましたが、ようやくこの問題が解決するようです。 Beginning today, we’re giving you more control over what information you share with third-party applications. Apps that you use to access your direct messages will ask for your permission again. » Twitter Blog: Mission: Permission 公式にアナウンスされているように、Twitterアプリケーションのア
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
Twitter「Twitter Developer Meetup」を開催、将来に向けての目標と概要について説明 | Twitter | Macお宝鑑定団 blog(羅針盤)
日本語でのMac,iPhone,iPad,iPodなどApple関連の情報サイト。MACお宝鑑定団のBlog。 Macに捉われず、様々な情報を掲載しています。 Twitter本社より複数の開発担当者が来日していたために、Twitter API を利用するアプリケーションなどを開発する開発者との懇談を行う「Twitter Developer Meetup」が、デジタルガレージ本社にて行われました。 スピーカーの左からLeland Rechis (Product Manager - Mobile)・松澤由香里 (Director internationalization)・Ryan Sarver (Director of Platform)] Twitter からは作業が完了した認証システムを Basic認証から OAuth に変更したことの意味や、現在開発実装中の機能として位置情報サービスの
第16回 「OpenSSO」と「OpenAM」で実現するシングルサインオンとID管理(解説編)
J-SOXの施行を受け、企業の内部統制やコンプライアンス強化が求められると同時に、企業情報システムのセキュリティの根幹である認証システムについても強化が求められています。シングルサインオンやID管理を実現するための商用製品が高価であるのに対し、オープンソースでありながら、それら商用製品と比較しても遜色のない「OpenSSO(OpenAM)」が注目されています。 OpenSSOとOpenAM OpenSSOとは、Web上でのシングルサインオン(SSO)を実現するためのJavaベースの認証ソフトウェアです。実装は、 米Sun Microsystemsから提供されていた商用製品「Sun Java System Access Manager」と「Sun Java System Federation Manager」のソースコードがベースとなっています。 Sun Java System Access
プレスリリース | 認証基盤ソフトウェアを開発、無償にて公開 | NICT-情報通信研究機構
独立行政法人情報通信研究機構(以下「NICT」という。理事長:宮原 秀夫)と慶應義塾大学理工学部情報工学科 寺岡研究室(以下「慶應義塾大学」という。塾長:清家 篤)は共同で、ネットワークにおけるユーザ認証や権限付与、サービス利用に対する課金のための基盤ソフトウェア “freeDiameter“ 及び “DiamEAP“ を開発しました。汎用プログラミング言語Cが基となり、インターネット業界の標準仕様に完全準拠したソフトウェアを無償にてセットで公開しています。既存ソフトウェアに比べ応用が容易で、認証が必要なサーバ等への組み込みが可能です。今後、新世代ネットワークの様々な研究用途への応用が期待できます。 NICTは、既存の技術にとらわれず、白紙から設計する新世代ネットワーク研究の一つとしてセキュリティ基盤技術を研究しています。一方、インターネットの標準化団体IETFでは、セキュリティ基盤技術の
自堕落な技術者の日記 : Pure JavaScriptでRSA署名するソースを公開しちゃいますよ〜〜〜〜w - livedoor Blog(ブログ)
基本は喰ってるか飲んでるかですが、よく趣味でカラオケ・PKI・署名・認証・プログラミング・情報セキュリティをやっています。旅好き。テレビ好きで芸能通 ちょっと前に、Stanford大のTom Wuさんという方がPure JavaScriptで公開鍵暗号を実装しているっていうのを、どなたかのつぶやきで見ました。送信相手のRSA公開鍵を使って、相手に対してメッセージを暗号化して、受取人はそれに対応した秘密鍵で復号するというものです。Base64やBigIntegerなんかもJavaScriptで実装されていました。 やる〜〜〜〜〜 ここまでできてりゃ、ひょっとしたらJavaScriptでPKCS#1 v2.1 RSASSA-PKCS1-v1_5署名もできちゃうんじゃね?、、、と思って2、3週間前に作ってみました。できたヤツは放置プレイしていたんですが、ワールドカップイヤーなもんでサッカー見なが
【レポート】"かんたんログイン"のセキュリティ問題とは何なのか? - WASForum 2010 (1) 「かんたんログイン」で指摘される問題性 | ネット | マイコミジャーナル
Webアプリのセキュリティを検討する「Webアプリケーションセキュリティフォーラム(WASForum)」が5月22日、認証と認可に関するイベントを開催した。その中で携帯電話の「かんたんログイン」のセキュリティに関して講演が行われた。 WASFは、もともとPCの一般的なインターネットのセキュリティを対象にしていたが、昨今のスマートフォンの流行などで携帯電話からも通常のインターネットが頻繁に利用されるようになったことから、今回のような考察が行われたという。 かんたんログインに関して講演をしたのは、HASHコンサルティングの徳丸浩氏と、産業技術総合研究所(産総研)の高木浩光氏。 パンドラの箱を開いたキャリア 携帯電話のWebサイト(携帯Web)で一般的に利用される「かんたんログイン」は、iモード(NTTドコモ)やEZweb(au)、Yahoo!ケータイ(ソフトバンクモバイル)で利用されているログ
いまPKIがなぜ注目されるのか?
PKIは、インターネットの普及により拡大するセキュリティ侵害を防ぐために開発された、まさに基盤となる技術。ユーザーやサーバーの認証、改ざん検知、暗号化などを実現し、さまざまなアプリケーションで汎用的に利用できる。 公開鍵の正当性を証明するPKI PKIは文字どおり、公開鍵暗号を利用するにあたって重要な鍵の正当性を証明するための仕組みだ。公開鍵暗号方式では秘密鍵と公開鍵という2つの鍵を利用することで、強固な暗号化とデジタル署名を実現する。しかし、この公開鍵暗号を利用するにあたっては、公開鍵の持ち主が正当であることを第三者機関が認証する必要がある。この第三者機関を「認証局(CA)」と呼び、認証局は公開鍵とその鍵の所有者であることを保証するために、電子証明書を発行する。 もちろん、電子証明書はX.509という規格に則って作れば簡単に偽造されてしまうが、認証局からのお墨つきがない証明書は、自分で自
WASForum 2010 - 発声練習
WASForumに参加してきた。面白かった。なんとなく知っていたキーワードをちゃんと説明してもらって位置づけをはっきりすることができたし、今の流行りはどのあたりなのかを知ることができた。プログラムはこちら。Twitterの#wasfタグを使っていたらしい、それに関するつぶやきはTogetter:WASForumまとめにまとめられていた。 終始、高木さんがネタになっていたのは面白かった。そして、高木さんもそれを遠慮なく利用して、セッションハイジャックの実例を…。たのしいフォーラムでした。講演者のみなさま、開催者のみなさま、おつかれさまでした。 門林さん:オープニングセッション -「Webサイトを安全に使う秘技とユーザが直面する3つの危険」 ちょいとあおり気味のオープニングセッションだった。 松岡さん:国民のためのウェブサイトを運営するID認証の舞台裏 Yahoo JapanにおけるID認証周
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20110722/p01/
openid / ab / wiki / Home — Bitbucket