パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife

2024/12/02 106 users r-weblife ritou FIDO qiita.com

ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便... 続きを読む

公開鍵暗号方式だからフィッシング対策できるって意見、もうええでしょう｜ritou

2024/09/26 13 users ritou フィッシングサイト フィッシング 公開鍵暗号方式

定期ってつけてるぐらいいつも言ってることなのですが、公開鍵暗号方式にしたらフィッシング対策もできてすんばらしいみたいな表現には反対です。 何が課題なのかパスワード認証とフィッシング攻撃における課題はいくつかあります。 フィッシングサイトにパスワードそのものが盗まれ、それを使ってログインされてしまう ... 続きを読む

E2EテストでNextAuth認証(OAuthなど)を突破する方法

2024/03/07 72 users OAuth playwright Auth.js 認証方式

NextAuth (Auth.js) で認証させているWebアプリをPlaywrightなどでE2Eテストする際に、認証をどうやってさせるか、あるいは回避するかが悩ましい部分です。 もし採用している認証方式が、単純なID/パスワード認証であればテストユーザを作成し、Playwrightにパスワードを入力させれば認証できるので問題はありません。 ... 続きを読む

「Linux」でパスワード認証なしでアクセス可能な「Samba」共有を作成するには

2023/10/19 6 users Samba フォルダー Linux ファ ZDNet.com

Jack Wallen （Special to ZDNET.com） 翻訳校正： 編集部 2023-10-19 07:45 「Samba」は、「Linux」デスクトップのフォルダーをネットワーク上のほかのユーザーと共有する優れた手段である。例えば、ほかのユーザーがアクセスする必要のあるドキュメントがある場合や、写真、動画など、共有したいさまざまな種類のファ... 続きを読む

GitHubが全ユーザーを対象にパスキー正式対応、パスワードレスでログイン可能に

2023/09/25 11 users GitHub 従来 認証 ハスキー パスワードレス

GitHubは全ユーザーを対象にパスキーへの対応を正式に開始したと発表しました。従来のパスワード認証の代わりに、パスキーによるパスワードレスな認証を行うことが可能になります。 Passkeys are now available for all users on https://t.co/VDZYKUklba. These phishing-resistant credentials can replace both a pas... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 230 users r-weblife ritou k-tai.watch 時点

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~

2023/01/29 5 users 目次 IDaaS 課題 人類 ソーシャルログイン

2023/01/28 オープンソースカンファレンス大阪で発表したスライドです。 目次 1部 パスワード認証の課題 2部 ソーシャルログインのすすめ 3部 IDaaSのすすめ 続きを読む

FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife

2022/05/23 14 users FIDO プラットフォーマー r-weblife ritou

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む

「パスワード認証なし」の世界に向けて足りなかったピースをFIDOアライアンスが発見

2022/03/22 5 users FIDOアライアンス ピース 発見 世界

デジタルネットワークにおいて不可欠の要素である「認証」の新たな形となるべく2012年に誕生した「Fast IDentity Online(FIDO：ファイド)」は、10年を経た2022年においてもまだ認証方式のスタンダードである「パスワード」に取って代わる存在となっていませんが、この10年間で「パスワードの必要性がない未来」へ向けて... 続きを読む

GitHubでhttpsのパスワード認証が廃止された。Please use a personal access token instead. - Qiita

2021/08/14 113 users GitHub https

Help us understand the problem. What is going on with this article? 続きを読む

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife

2021/06/14 14 users ritou WebAuthn r-weblife Apple

おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む

sudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi) - security.sios.com

2021/01/26 324 users important sudo ローカルユーザ 特権昇格 和毅

こんにちは。SIOS OSSエバンジェリスト/セキュリティ担当の面 和毅です。 01/27/2021にsudoの脆弱性情報(Important: CVE-2021-3156 : Baron Samedi)が公開されています。どのローカルユーザでもパスワード認証を経ずに特権昇格が出来るため、一度ローカルユーザのターミナルを開くことが出来れば権限昇格できてしまうと... 続きを読む

Googleの物理キー「Titan セキュリティ キー」がサイドチャネル攻撃により突破される - GIGAZINE

2021/01/08 24 users GIGAZINE FIDO 漏えい 生体認証 認証

ウェブサイトの認証に用いられるパスワード認証は、パスワードの漏えいに対して脆弱(ぜいじゃく)であるため、物理キーなどを用いた2段階認証を導入するウェブサイトが増加しています。Googleの「Titan セキュリティ キー」は、Googleの2段階認証で利用できる物理キーのひとつで、FIDOによる生体認証に対応しているのが特... 続きを読む

GitHubがGit操作時のパスワード認証を廃止、今後はトークンによる認証が必須に - GIGAZINE

2020/12/19 22 users GIGAZINE GitHub コマンドライン トークン 廃止

GitHubがコマンドラインでのGit操作時の認証方式のひとつである、パスワード認証を廃止すると発表しました。同サービスは2020年11月にREST API利用時におけるパスワード認証を廃止し、二段階認証などのトークン認証に移行しており、今回の発表はその範囲を拡大した形となります。 Token authentication requirements for... 続きを読む

パスワード認証のリスクを軽減するための「FIDO2」をFirebeseで実装していく - ログミーTech

2020/06/10 10 users Firebase ログミーTech FIDO2 実装 リスク

LINE株式会社が開催する技術者向けミートアップ「LINE Developer Meetup」。第62回となる今回のテーマは「Android」です。セッション「パスワードのない未来のためのFirebaseで実装するFIDO2」では、LINE株式会社のコキチーズ氏が登壇し、Androidアプリの登録やレジストレーションの実装などFIDO2をFirebeseで実装してい... 続きを読む

Googleの2段階認証を構築する「Titan セキュリティ キー」にUSB Type-Cタイプが登場 - GIGAZINE

2019/10/15 9 users ウェブサービス GIGAZINE USBポート 手段 アプリ

ウェブサービスやアプリを使う際に個人情報を守る手段として、2段階認証はパスワード認証に置き換わる存在となっています。Googleは2019年8月にUSBポートに差し込むことで2段階認証を提供する「Titan セキュリティ キー」を発表しましたが、新たに、USB Type-Cに対応したTitan セキュリティ キーが登場することが明らか... 続きを読む

パスワード認証に取って代わる2段階認証とその未来とは？ - GIGAZINE

2019/07/15 25 users セブン-イレブン 謝罪会見 GIGAZINE 7pay 話題

by Brian Ronald 2019年7月4日(木)に、セブン-イレブンの「7pay」で起こった大規模な不正利用被害についての謝罪会見で、運営会社であるセブン・ペイの小林強社長が2段階認証について尋ねられたところ、「2段階認証……？」と首をかしげてセキュリティ意識の浅さを露呈し、話題となりました。 これまでネットワークにおけ... 続きを読む

「パスワード認証」を今すぐやめるべき理由：特選プレミアムコンテンツガイド - TechTargetジャパン セキュリティ

2019/04/22 9 users TechTargetジャパン ＤＳＳ セキュリティポリシー

関連キーワード PCI DSS | 暗号化 | セキュリティポリシー | 生体認証 ダウンロードはこちら 攻撃者が不正に取得したID／パスワードによる情報漏えいの被害が相次ぐ中、ID／パスワード認証の限界を指摘する声が高まっている。それでも企業向け、コンシューマー向けを問わず、ログインを必要とするシステムのほとんどが、... 続きを読む

国税庁のe-taxは2019年よりパスワード認証となり、ICカードは不要に | スラド

2017/07/18 19 users 税務署 スラド 確定申告 日経新聞 難易度

確定申告などを行える国税庁のe-taxシステムは、現在はICカードと電子証明書を要求している。しかし2019年度より、税務署が発行したIDとパスワードのみで利用できるよう改善されるという（ 日経新聞 ）。外国に比べて電子化普及率が遅れていることが理由とのこと。 これにより手続きの難易度は、オンライン株取引なみに引き下げられる。なぜ最初からこうしておかなかったのかと。 続きを読む

横柄なパスワード – パスワード認証に関する改善策 | デザイン | POSTD

2015/12/21 96 users POSTD パスワー 改善策 小文字 大文字

##パスワードにはうんざり。改善しましょう。 誰もが経験するあの瞬間。新しいサービスに登録し、パスワードを選んで入力する。でも、入れません。選んだパスワードは十分安全なはずなのに、使いたいサービスが独善的にそれを拒むのです。 記号、数字、大文字、小文字を少なくとも１つずつ使用しなければなりません。 小パスワードにはうんざり。改善しましょう。 誰もが経験するあの瞬間。新しいサービスに登録し、パスワー... 続きを読む

JALの会員向けサービスサイトが悲願のパスワード認証を導入へ(山本一郎) - 個人 - Yahoo!ニュース

2015/09/26 45 users 何者 悲願 事態 JAL 不正アクセス

山本一郎です。25歳ぐらいまで、定期的にパスワードを変更するのが必要だと思い込んでいました（照）。 ところで、既にもう1年以上も前の話になりますが、それはどう考えても杜撰すぎるだろうというセキュリティ管理システムを導入していた結果、日本航空（JAL）が提供する会員サービスサイトにおいて、何者かの不正アクセスから個人情報が漏洩し約2700万人の会員パスワードをすべて強制リセットせざるを得ない事態が発... 続きを読む

Windows 10、パスワード認証不要の新サービスに対応へ : ギズモード・ジャパン

2015/02/19 20 users マイクロソフト ギズモード ソフトウェア 正式リリース

Windows , セキュリティ , ソフトウェア , ニュース Windows 10、パスワード認証不要の新サービスに対応へ 2015.02.19 17:45 もしやWindows 10で最強機能に？ 2015年後半のビッグイベントとして期待されているWindows 10の正式リリースですけど、このほどマイクロソフトは、パスワード不要の新認証仕様となるFast Identification On... 続きを読む

GHOST脆弱性にyum update glibc、その後リブートする前に - Qiita

2015/01/28 47 users SSH authorized_keys root glibc

CentOS7で遭遇したトラブル。 本日話題のGHOST脆弱性にyum updateでパッチを当てたところ SSHログインできなくなってしまった というものです。 root権限でyum update → もちろん成功 (この時点で /root/.ssh/authorized_keys が空ファイルになってしまったよう) リブートしてSSHで再ログインを試みる。公開鍵認証が通らない。 パスワード認証... 続きを読む

まだパスワードで消耗してるの? : 続・ユビキタスの街角

2014/11/30 35 users たび 文字列 アホ 人間 最大

「パスワードを忘れた」みたいな話を聞くたびに「アホじゃなかろうか?」と感じてしまう。 パスワード認証の最大の問題は複雑なパスワードを覚えておくのが難しいことである。 新たに覚えたことを忘れてしまうのは人間にとってあたりまえのことであって、 新しく決めたパスワードを忘れてしまうのはごく自然なことである。 苦労して考えた文字列は、一時的に覚えておくことができたとしても 時間がたつと忘れてしまうに決まっ... 続きを読む

sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まっている

2014/06/24 177 users SSH OpenSSH ろば電子 ssmjp メモ

ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。osuetaとは何かOpenSSHでは、パスワード認証の際に長い文字列(目... 続きを読む