安全な認証のためにユーザーに使わせるべきは「パスキーも扱えるパスワードマネージャー」である - r-weblife

2024/12/17 73 users r-weblife ritou リモート ハスキー 秋田

ritou です。 パスキー普及のためにも、パスワードマネージャーを使いましょう、使わせましょうというお話をしました。 Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024 https://t.co/DwpeEENCmW— 👹秋田の猫🐱 (@ritou) 2024年12月11日 先日、こちらのイベントで(リモートで)お話しし... 続きを読む

ソニーのXperia、総務省が行政指導　電波法違反で - 日本経済新聞

2024/12/13 5 users Xperia エクスペリア 究明 ソニー 電波

総務省は13日、ソニーが手掛けるスマートフォン「Xperia（エクスペリア）」が工事設計の認証から外れたアンテナを使って電波を発射できる仕様になっていたとして行政指導したと発表した。「Xperia 1 IV」や「Xperia 5 V」などが対象。原因の究明と分析、再発防止策を検討し、2025年1月14日までに報告することを求めた。... 続きを読む

ソニー株式会社 | 弊社製スマートフォン7モデルに関するお知らせとお詫び

2024/12/13 15 users ソニー株式会社 モデル お詫び 電波 総務省

弊社製スマートフォン7モデルに関するお知らせとお詫び 2024年12月13日 ソニー株式会社 ソニー株式会社が製造した以下のスマートフォンにおきまして、認証を受けた工事設計に含まれないアンテナを使用して電波を発射することが可能な状態であったことが判明しました。この件については2024年10月31日に総務省に報告し、... 続きを読む

“パスキーでセキュリティー対策強化を”IT業界団体が呼びかけ | NHK

2024/12/12 16 users ハスキー NHK IT業界団体 指紋 フィッシング詐欺

パスワードを入力させて個人情報やお金をだまし取るフィッシング詐欺が相次ぐ中、アメリカのIT大手や日本企業などで作る業界団体が事業者に顔や指紋などの認証を使った「パスキー」を取り入れ、セキュリティー対策を強化するよう呼びかけました。 インターネット上では、メールなどを通じて偽のサイトに誘導し、IDやパス... 続きを読む

共通管理基盤サービスに SAML 認証を導入した話 - freee Developers Hub

2024/12/09 13 users freee shikakun SAML アクセシビリティ おか

こんにちは。 この記事は freee Developers Advent Calendar 2024 - Adventar 12/09(9日目)の記事です。 今日は「共通管理基盤開発チーム」の "にいおか" が担当します。 昨日は shikakun さんの freeeで1年間働いてわかった「ふつう」のアクセシビリティ - freee Developers Hub でした。shikakun さんが入社して1年弱... 続きを読む

パスキー認証の必須化/強制についての現状の課題と改善のための勘所 - r-weblife

2024/12/02 106 users r-weblife ritou FIDO qiita.com

ritou です。 Digital Identity技術勉強会 #iddance Advent Calendar 2024 初日の記事です。今年も頑張りましょう。 qiita.com パスキー認証の理想と現実 パスキー(というかFIDO)認証はパスワード認証を用いた脆弱な現状を打破すべく考えられた仕組みです。メディアの取り上げられ方はこんな感じでした。 とても安全で便... 続きを読む

長年の誤ったパスワードポリシーが推奨された原因はあの偉人の論文だった？ - YAMDAS現更新履歴

2024/12/01 188 users 偉人 論文 YAMDAS現更新履歴 長年 NIST

stuartschechter.org 米国立標準技術研究所（NIST）の認証に関するガイドライン「NIST SP 800-63」が改訂され、「パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない」というのがようやく周知された。 しかし、「複雑なパスワード」と「定期的なパスワードの変更」が長年推奨されてきたのか。... 続きを読む

ユーザー名が52文字以上だと「パスワードなしでログインできる」欠陥が3カ月間も存在していたことをOktaが公表

2024/11/05 9 users OKTA ユーザアカウント 一元 欠陥 Okta AD

IDやパスワードなどのユーザアカウントを一元管理するシステムを手がけるOktaが、「ユーザー名が52文字以上だとパスワードによる認証を回避できる脆弱(ぜいじゃく)性」が2024年7月23日から約3カ月間にわたって存在していたと発表しました。 Okta AD/LDAP Delegated Authentication - Username Above 52 Characters Secur... 続きを読む

Cloud RunがIAPでよりお手軽に認証できるようになりました！

2024/11/03 45 users IAP プロキシサービス 前段 Cloud Run リソース

注意 この機能は2024/11/03現在まだPrivate Previewのため利用申請が必要です。 IAPとは Identity-Aware Proxy（IAP）は、Google Cloudで提供されているセキュリティ機能で、特定のユーザーだけが特定のリソースへアクセスできるようにするプロキシサービスです。 これを利用することでCloud Runの前段でIAPによる認証を... 続きを読む

Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も

2024/09/24 115 users auth SDK クラウドサービス 認可 ドメイン

Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も 認証プラットフォームを提供するOkta社は、Auth0の無料プランを拡大したと発表しました。 Auth0は、認証や認可にかかわる機能がクラウドサービスとして提供されており、SDKを用いてWebアプリケーション... 続きを読む

立ち止まらずに多人数を生体認証するシステム、NECが販売へ　1分間で100人の認証にも成功

2024/09/03 16 users シンガポール 多人数 グローバル 大阪万博 従来

NECではリリースに先立ち、このシステムを本社ビルに導入。従来は社員証をかざしてドアを開けていたが、歩きながら手ぶらで入場できるようになったという。 販売開始時期は9月30日を予定。日本、アメリカ、シンガポールを中心にグローバルで販売するとしている。 関連記事 大阪万博、NECの顔認証システム導入　入場管理... 続きを読む

情報流出のイセトー、セキュリティーのISO認証一時停止 - 日本経済新聞

2024/09/02 15 users イセトー ランサムウェア セキュリティー ISO 住民

情報処理サービスなどを手掛けるイセトー（京都市）は2日、情報セキュリティーに関わる国際標準化機構（ISO）の認証が一時停止されたと発表した。イセトーは5月にランサムウエア（身代金要求型ウイルス）に感染したことを公表し、その後、管理を受託していた自治体や企業の住民・顧客リストが流出したことが相次いで判明... 続きを読む

Nuxt Auth Utils でサーバーサイドの認証を（OAuth・マジックリンク・ワンタイムパスワード）

2024/09/01 11 users サーバーサイド nitro OAuth Nuxt SSR

Nuxt 3 では Universal Rendering (SSR) によるアプリケーションの開発が難なく可能です。 Nitro というサーバーサイドのフレームワークにより、Nuxt 3 はサーバー側の処理も簡潔に記述できるようになっています。 Nuxt Auth Utils はそんな Nuxt の特徴を生かした、SSR のアプリケーションに OAuth 認証を実装できる Nu... 続きを読む

生成ＡＩ偽画像で「本人なりすまし」、口座開設デジタル顔認証すり抜け…闇サイトでの手口公開にコメント続々

2024/08/27 5 users 手口 ディープフェイク 生成AI 巧妙化 懸念

【読売新聞】　生成ＡＩ（人工知能）を悪用した偽画像「ディープフェイク」の巧妙化に伴い、オンライン上で行われる顔認証などの本人確認が不正に突破される懸念が高まっている。闇サイトではこうした手口の情報交換が行われ、実証実験でも認証をすり 続きを読む

『Elona』のタイトル無断使用疑惑の“Elona 2”販売元、「合法かつ適法」だとして反論。あくまでモバイル向けの『Elona Mobile』の続編と強調 - AUTOMATON

2024/08/09 52 users Elona AUTOMATON entertainment

『Elona 2~ドット絵×異世界×アドベンチャーRPG』の配信元HONG KONG KUNPAN CULTURE ENTERTAINMENTは8月8日、「Elona 2ライセンスに関するご案内」としてX上に声明を投稿。同社によれば、『Elona 2』は「正規のIPライセンスを取得し、認証も公式に受けた」としている。 『Elona』のタイトル無断使用疑惑の“Elona 2”販売元... 続きを読む

食べログメールにワンクリックでの登録解除を導入した話 - Tabelog Tech Blog

2024/08/05 20 users グルーピング 目次 監視 結論 外部

目次 目次 はじめに 送信者ガイドライン 送信ドメインの認証 迷惑メール率の監視 ワンクリックでの登録解除 設計について 対応方針 配信停止リクエストについて 案 1:自前実装 処理の流れ メリット デメリット 案 2:外部のメール配信システムの機能を利用 処理の流れ メリット デメリット 比較と結論 グルーピングによる... 続きを読む

OAuthの仕組みを説明してHonoで実装してみる

2024/07/16 161 users OAuth hono 塚原 CONNECT 認可

はじめに はじめまして！レバテック開発部でレバテックプラットフォーム開発チームに所属している塚原です。 直近に認証・認可周りの改修を予定しているため、チーム内で認証・認可の基礎からOAuth・OpenID Connectの仕組みを学ぶ勉強会を実施しました。今回はそこで学んだことのうち、認証・認可の基礎とOAuthの仕組み... 続きを読む

SSH接続を10倍速くするたった3行の設定 - Qiita

2024/07/08 377 users Qiita パスフレーズ host SSH SSH接続

今回は、SSH接続を劇的に高速化する方法をご紹介します。たった3行の設定を追加するだけで、接続時間を10分の1に短縮できます。しかも、2回目以降の接続では認証も自動的に行われるので、パスワードやパスフレーズの入力も不要になります。 要点 .ssh/configファイルのHost *セクションに以下の3行を追加するだけです。 ... 続きを読む

認証なしでリモートコード実行　OpenSSHに“回帰”した脆弱性「regreSSHion」発覚

2024/07/02 10 users OpenSSH セキュリティベンダー リモートコード実行

セキュリティベンダーの米Qualysは7月1日（現地時間）、SSHソフトウェア「OpenSSH」に重大な脆弱性を発見したと発表した。脆弱性は「regreSSHion」（CVE-2024-6387）と名付けられ、ルート権限で認証なしに任意のコードをリモートで実行できてしまうという。同社によると世界中の1400万台以上のサーバーに影響があるとす... 続きを読む

「OpenSSH」にルート権限で認証なしに任意のコードが実行される致命的な脆弱性／リモートから悪用可能、「OpenSSH 9.8p1」への更新を

2024/07/02 15 users OpenSSH リモート 悪用 ルート権限 脆弱性

続きを読む

OpenSSHに重大な脅威となる脆弱性「regreSSHion」(CVE-2024-6387)が発覚、ほぼすべてのLinuxシステムに影響

2024/07/02 15 users OpenSSH Tru glibc regreSSHion

セキュリティ企業・Qualysの脅威調査ユニット(TRU)の研究者たちが、GNU Cライブラリ(glibc)に依存するLinuxにおけるOpenSSHサーバーの重大なセキュリティ脆弱(ぜいじゃく)性を発見しました。この脆弱性は「regreSSHion」と名付けられ、認証なしのリモートからroot権限で任意コード実行が可能となる重大な脅威です。 regr... 続きを読む

GitHub ActionsからGoogle Cloudへの認証にはDirect Workload Identity Federationを使おう - Paper2 Blog

2024/06/29 10 users GitHub Actions auth ワークフロー 権限

google-github-actions/authとは Direct Workload Identity Federationとは 利用方法 Workload Identity Poolを作成する Workload Identity ProviderをPool内に作成する 検証用のシークレットを作成する Workload Identity Poolに権限を付与する ワークフローを作成する まとめ google-github-actions/authとは Google C... 続きを読む

GitLabとGoogle Cloudの統合がパブリックベータに。GitLabの認証からソースコード管理、ランナーの実行、デプロイまですべてGoogle Cloud上で

2024/06/25 16 users パブリックベータ GitLab デプロイ ランナー 統合

GitLabとGoogle Cloudの統合がパブリックベータに。GitLabの認証からソースコード管理、ランナーの実行、デプロイまですべてGoogle Cloud上で ソースコード管理やCI/CD機能などの開発プラットフォームを提供するGitLabは、Google Cloudとの本格的統合をパブリックベータとして公開しました。 これによりGitLabの認証、ソ... 続きを読む

声優の利益保護へ音声データを認証　AIカバー対策、初の団体設立へ：朝日新聞デジタル

2024/06/25 7 users 朝日新聞デジタル 声優 団体設立 音声データ 利益保護

AI（人工知能）に学ばせる音声データを認証する団体が来月にも設立される。25日に会見した関係者によると、国内初。AI開発者は、認証を受けた質の高い安全なデータを購入でき、声優らにも対価が支払われるようになる。データの追跡や透明性の確保につながるため、AI開発と知的財産の保護という点からも先駆的な例となり... 続きを読む

トヨタとホンダ「認証不正めぐる認識」ここまで違う | クルマ最新事情 | 川口雅浩 | 毎日新聞「経済プレミア」

2024/06/13 7 users すり合わせ 川口雅浩 豊田章男会長 トヨタ自動車 OEM

トヨタ自動車の豊田章男会長（左）とホンダの三部敏宏社長＝東京都内で2024年6月3日、長谷川直亮、和田大典撮影 トヨタやホンダなどの認証不正を考える（3） 「あまりこのタイミングで私の口から言えないが、（認証制度と現場の）ギャップはあると思う。これをきっかけに国とOEM（自動車メーカー）がすり合わせをして、... 続きを読む