「信頼フレームワーク最新動向」~Open Government, Open Economy, Open Identity~ 2011年7月28日(木) 「トラストフレームワークの国際動向」 山中 進吾(OpenIDファウンデーション・ジャパン) http://www.openid.or.jp/modules/news/details.php?bid=41 http://www.ustream.tv/recorded/16287210Read less
Firefox web browser - Faster, more secure & customizable Webサイトへのログインに新しい流行を作るかもしれない興味深い技術がMozillaから発表された。Mozillaの見込みがうまくいけば、数年後にはこの方式でどのWebサイトにもログインできるようになる可能性がある。発表された技術は「BrowserID」と呼ばれている。 Webサイトにおけるログインというのは、利用するユーザにとっても、開発するエンジニアにとっても面倒なものだ。ユーザはサイトごとに異なるIDとパスワードを入力しなければならないし、開発側はログインシステムをプライバシーの保護にも考慮しながら開発する必要がある。 「BrowserID」はこの双方の問題を解決する。開発側は数行のコードをページに挟みこむだけでログイン処理が実装でき、ユーザはどのサイトでもまったく同じUI
2011年7月12日7:40 海外におけるID連携の最新動向は? 米国政府では、「NSTIC」という国家プロジェクトを実施 一般社団法人OpenIDファウンデーション・ジャパンは、国内におけるOpenID技術の普及・啓蒙活動を行っており、2011年7月現在、48社の会員が参加している。今回は事務局長の山中進吾氏に、海外の状況も踏まえ、ID連携がもたらす決済分野でのビジネスの可能性について説明してもらった。 Open IDファウンデーション・ジャパン PayPalはAPIを一新し、 細かい属性を加盟店に提供へ OpenIDファウンデーション・ジャパン 事務局長 山中進吾氏 ID連携は、eコマースサイトなどに対し、ユーザーの同意に基づいてID情報をサービス間で交換することです。自社のIDを外部に提供し決済できるサービスとして、楽天の「楽天あんしん支払いサービス」、ヤフーの「Yahoo!ウォレッ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
先日、LastPassで発生したセキュリティリスク。改めて、「セキュリティ度の高いパスワードが必須だ」ということを認識した方も多いことでしょう。とはいえ、実際パスワードを設定するとなると、どうしてもパターン化してしまいがち...。これが、ハッカーの標的になってしまうかもしれません。 セキュリティの専門家Roger Grimes氏は、IT系メディア「InfoWorld」で、容易に類推されやすいパスワードについて述べ、パスワードはもはや、よく使われている6~8ケタでは十分でなく、それ以上長いものを設定すべきと指摘しています。 Photo by reidrac. この記事によると、パスワード破りのプロのほとんどは、2分の1の確率でユーザのパスワードに一つ以上の母音が含まれていることを知っているとか。また、数字が含まれている場合、それはたいてい「1」か「2」で、パスワードの最後にくるのだそうです。
■ 富士通総研が研究員のコラムを削除、国民ID・共通番号制度を巡る現況 先週の金曜日、富士通総研のコンサルタントらによるコラムのサイトに掲載された、「国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを」という記事が、その日のうちに説明なく削除されるという事件があり、いったい何があったのかと憶測を呼んでいる*1。 国の礎としての共通番号制度を構築すべく、抜本的な議論の見直しを, 榎並利博, 富士通総研, 2011年5月13日(現時点では「エラー404 お探しのページは存在しません」と表示される) 政府からの圧力を疑う人が続出していたが、私の感触では、番号制度*2をめぐる現在の状況では、そういうことは考えにくいのではないかと思う。それよりも、この記事の主張の組み立て手法に見られる典型的な不味さが、富士通総研やその周辺の関係者に見抜かれたためではないか。私はそう憶測する。 榎並氏の3
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
暗号鍵の管理に関しては、米国国立標準技術研究所(NIST)が2005年にSP(Special Publication)シリーズとしてSP 800-57 "Recommendation for Key Management"のPart 1を発行し、暗号鍵管理の全体像を示した。その後Part 1は2回、改訂を繰り返し、最新のものは2007年に改訂された。またPart 2、Part 3も発行されて、ベストプラクティスや特定アプリケーションでの鍵管理を述べている[1]。 暗号鍵の管理は、単に暗号鍵の保護機構のみならず、暗号鍵の種類や有効期間・強度など暗号鍵そのものに関する情報や、暗号鍵の確立や保護、保証、アーカイブ、バックアップなど暗号鍵の管理機能、さらに管理フェーズや暗号鍵の状態、移行など暗号鍵の運用を含んでおり、非常に多岐にわたる。 国内では、「安全な暗号鍵のライフサイクルマネージメントに関す
Telecooperation Lab Welcome to the website of the Telecooperation Lab. Telecooperation Lab (TK) at Darmstadt Technical University, Department of Computer Science, researches concepts and methods for human-centered smart spaces of all sizes: from personal cyber workstations and intelligent meeting rooms to smart cities and intelligent, resilient infrastructures. Our unique strength is our ability t
OAuth 2.0のDraft 13出ました。 draft-ietf-oauth-v2-13 - The OAuth 2.0 Authorization Framework Facebookやmixi Graph APIなどを使って開発されたことがある方は、OAuth 2.0 Draft 10の仕様はほぼ理解されていると思います。 Draft 10は単体である程度まとまった仕様として書かれていましたが、そのあとのDraft 11から構成の見直しなどが行われました。 もうそろそろ決まりそうだという噂があるので、今一度ざっくり最初からまとめ直していきます。 ただ、ClientやAuthorization Serverなど、基本的な説明は省略しています。 Draft 11以降に出てきた(と思われる)説明などを簡単にまとめたつもりです。 毎度のことながら、長いうえにこれは翻訳ではないので、厳密に調
【告知】「だれが/どこが、どんな研究をしているんだろう?」そんな要求にこたえる「情報セキュリティ学術研究マップ」α版を公開しました!http://4403.biz/ISAM/ 通称はイサムです!明日のSCIS 2011 ナイトセッションで全貌を紹介します! #SCIS20112011年1月26日 17:53 via webakirakanaoka Akira KANAOKA (金岡 晃) 本日未明,@akirakanaokaさんによって,情報セキュリティ学術研究マップ,通称イサムがリリースされました. イサムってなに? 情報セキュリティの世界で、主に日本の研究者がどんな研究をしているかを検索できるサービスです。 基になっているデータは「暗号と情報セキュリティシンポジウム(SCIS)」の2001~2010年、「コンピュータセキュリティシンポジウム(CSS)」の1999~2010年、のプログラ
OAuth 2.0 draft 12を読まれた方の中では、この文言が気になった方もいるのではと思います。 while the "mac" token type defined in [I-D.hammer-oauth-v2-mac-token] is utilized by issuing a token secret together with the access token which is used to sign certain components of the HTTP requests: GET /resource/1 HTTP/1.1 Host: example.com Authorization: MAC token="h480djs93hd8", timestamp="137131200", nonce="dj83hs9s", signature="kDZvddknd
Astand終了のお知らせ 朝日新聞社「Astand」は、2023年7月でサービスを終了しました。 朝日新聞社が有料で提供する情報サービスの配信サイト Astand(エースタンド)は、各サービスの終了にともない2023年7月31日をもちまして閉鎖しました。 今後は、朝日新聞社が運営するニュースサイト「朝日新聞デジタル」をご利用いただきますようお願い申し上げます。朝日新聞デジタルのコンテンツはこちらでご案内しております。 https://digital.asahi.com/info/about/ なお、朝日新聞社のオンライン共通ID 「朝日ID」は引き続きご利用いただけます。 https://id.asahi.com/asahiID/asahiID_site.html
先日GizmodoやKotaku、Lifehackerなどを運営するアメリカの「Gawker Media」のサイトがハッキングされ、ユーザー情報が大量流出するという事件が発生しましたが、流出したユーザーのパスワードの情報を元に「使ってはいけないパスワード」がランキング形式で公開されました。 使ってはいけないパスワードの1位は「123456」で、2位は「password」になるなど、安直すぎるパスワードを利用するユーザーが多いという結果になっているほか、複数のサービスで同じパスワードを使い回すことに対する注意喚起も行われています。 詳細は以下から。 The top 50 passwords you should never use | Naked Security セキュリティ企業のSophosの発表によると、「Gawker Media」のサイトがハッキングされたことを受けて、マイクロブログ
超、久しぶりにエントリする機会ができました。 経緯 @_natさんが下記のエントリを英語で書きました。 Identifier and Privacy @ =nat http://nat.sakimura.org/2010/12/09/identifier-and-privacy/ 意外にこういう記事って、日本語になっていないだけでスルーされることが多い気がするので、 下記みたいな経緯で、大したことではないですがエントリに書き起こします。 これで@masason的に「できました。」とか言えます。 この@_natさんのエントリで言っていることは、国民IDとか市民IDといった分野で使われるべきIDが備えるべき要件ってなんだろうね、という話です。 IDといっても、識別子、当人確認、身元確認、、、色々意味の異なることがありますが、ここでは識別子(Identifier)の話に限定します。 なにやら国民
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く