セキュリティに関するtakahiro_kiharaのブックマーク (12)
-
takahiro_kihara 2024/11/15
-
Passkey(パスキー)とは | 用語集 | CloudGate UNO
パスキーとは パスキーとは、パスワードに置き換わるFIDO認証資格情報です。 ユーザーのデバイスを問わず、ウェブサイトやアプリケーションへのより速く、簡単、安全なサインインを提供するパスワードの代替品です。 パスキー認証の仕組み パスキー認証は公開鍵暗号方式に基づいています。パスキーでウェブサイトにサインインする際には、サーバーからのチャレンジをデバイス内に保存された秘密鍵で署名し、サーバーに送信します。サーバーは事前に登録してあった、署名に用いた秘密鍵の対となる公開鍵で署名を検証を行うことで認証します。 デバイス内に保存された秘密鍵で署名する際に、PCやスマホであればそのデバイスにロック解除機能(Windows Hello、FaceIDなど)で本人確認を行うため、本人検証はローカルで行い、サーバー側では署名検証のみを行うため、認証資格情報を窃取するようなフィッシング攻撃に耐性があります。
-
“パスワード変更”をユーザーに定期的に要求はダメ 米国政府機関が発表 「大文字や数字を入れろ」の強制もNG
このコーナーでは、2014年から先端テクノロジーの研究を論文単位で記事にしているWebメディア「Seamless」(シームレス)を主宰する山下裕毅氏が執筆。新規性の高い科学論文を山下氏がピックアップし、解説する。 X: @shiropen2 「組織はユーザーに定期的なパスワード変更を要求してはならない」──米国政府機関の米国立標準技術研究所(NIST)が、そんな内容を含めた新しいガイダンス「SP800-63B」を発表した。パスワードの内容は、セクション3.1.1に記されている。 多くの人々が新しいパスワードを考え出し、それを覚えることに苦労している。セキュリティ上の理由から、多くの組織がユーザーや従業員に定期的なパスワードの変更を要求し、もしくは義務付けている。しかし今、米国政府はソフトウェアやオンラインツールを作成・運用する組織にこの慣行をやめるよう呼びかけている。 これは、Webサイト
-
「定期的に変更するな」 NISTがパスワードポリシーのガイドラインについて第2版公開草案を発表
訂正のお知らせ 本文中で、修正前は「パスワードポリシーに関するガイドライン『NIST Special Publication 800-63B』の改訂版」と記載していましたが、正しくは「『NIST Special Publication 800-63B-4』の第2版公開草案」の誤りでした。誤解を招く表現となっていたことをお詫び申し上げます。該当箇所を訂正しました(2024年9月30日15時20分更新)。 米国立標準技術研究所(NIST)は2024年8月21日(現地時間、以下同)、パスワードポリシーに関するガイドライン「NIST Special Publication 800-63B-4」について、第2版公開草案を発表した。 同草案では定期的なパスワードの変更や異なる文字タイプの混在(例えば数字、特殊文字、大文字小文字を組み合わせる)を義務付けるべきではないことが提案されている。 「パスワード
-
一番の弱みは人間の中に 伝説のハッカーが語るデジタルリスク :朝日新聞GLOBE+
米国のホワイトハッカーがみるデジタルプライバシー 1月下旬、ニューヨーク証券取引所で米国の伝説のハッカー、ケビン・ミトニック(54)に約4年半ぶりに会った。「身の回りのモノが何でもネットにつながるIoT(Internet of Things)の機器が最近増えてるけど、どう思う?」と尋ねるや自身のパソコンを開き、あるサイトを私に示した。世界中のIoT機器について、特にセキュリティーが弱いものを中心に検索できる「Shodan」だ。 ミトニックがキーボードをたたくうち、セ氏温度の数値が画面に出てきた。「IoTサーモスタットの設定画面だね。場所は豪州のパースのようだ。ここで操作すれば、設定温度を変えられるよ。違法だからやらないけどね」。ミトニックはおどけた。 サーモスタットは、室温などを一定に保つ一般的な機器。最近はエアコン以外の家電とも連動して温度を自動調節するIoTサーモスタットの普及が進む。
-
「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】
TOPフォーカス「勉強しろ」じゃ啓発は難しいから。スベり覚悟の「セキュリティ芸人」が笑いで“脆弱性”を伝える理由【フォーカス】 セキュリティ芸人 アスースン・オンライン ゲーム会社でプログラマーをしつつ、趣味でセキュリティ芸人として活動。情報セキュリティ系のイベントやYouTube上でネタを披露している。R-1グランプリ2023では1回戦を突破。芸名は、大学の後輩にSNS上で陰口を書かれていたとき、本名の「麻生さん」をもじり、敬称まで含めて「ASUSN」と呼ばれていたのが由来とのこと。「オンライン」は語感で付けた。 X 「脆弱だなあ~」のツッコミをキーフレーズに、情報セキュリティや脆弱性をテーマにしたネタを披露する「セキュリティ芸人」のアスースン・オンラインさん。2023年3月に、YouTubeチャンネルに投稿したネタ披露の動画は90万回以上再生されるなど、エンジニアを中心に一定の人気を集
-
フリーWi-Fiを使ったら秘密情報を抜かれる経路にはどのようなものがあるか - Qiita
ゴールデンウィークのはじめ(4月29日)に投稿された以下のツイートですが、5月7日20時において、1,938.8万件の表示ということで、非常に注目されていることが分かります。 我が名はアシタカ!スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた。どうすればよい! pic.twitter.com/e26L1Bj32Z — スタバでMacを開くエンジニア (@MacopeninSUTABA) April 29, 2023 これに対して、私は以下のようにツイートしましたが、 これ入社試験の問題にしようかな。『スタバのFreeWi-Fiを使いながら会社の機密情報を扱う仕事をしてたら全部抜かれた』と言う事象に至る現実的にありえる脅威を説明せよ。結構難しいと思いますよ。 https://t.co/LH21zphCTV — 徳丸 浩 (@ockeghem) April
-
-
パスワードの代替「パスキー」が続々登場、Microsoft・Apple・Googleが対応
Ars Technicaは10月25日(米国時間)、「Passkeys—Microsoft, Apple, and Google’s password killer—are finally here|Ars Technica」において、安全で使いやすいパスワードの代用品がついに登場したと伝えた。Microsoft、Apple、Googleの「パスキー(Passkeys)」の登場によって、パスワードの代替手段を手に入れることが可能になったという。 パスワードに変わる新たな選択肢として、パスキーが具現化した。もともと認証情報をハードウェアに保存するためのさまざまなスキームのことをパスキーと呼び、コンセプトは10年以上前から存在していた。パスキーは、パスワードよりも使いやすく、クレデンシャルフィッシングやクレデンシャルスタッフィング、アカウント乗っ取り攻撃にも完全な耐性があるといわれている。 F
-
-
生体認証やICカード認証の弱点を認識せよ (3/3) - ITmedia エンタープライズ
それぞれの問題点 生体認証の問題点 現在では指紋や静脈、光彩などが主流になりましたが、用途は増加の一途をたどっています。生体の問題点はどこにあるのでしょうか。 まず、生体であるためにその特性を検知できない、もしくはそのものがない場合はその救済策を考慮する必要があります。例えば指紋なら、「生まれつき指紋がないもしくは極めて薄い」「薬品の取扱い業務などで指紋が消えてしまった」「指そのものが無い、もしくは喪失された」「“指掌角皮症”や逆に指に多量の油がにじんでしまう(病気ではないケースも多い)」があり、不特定多数を相手にするためには、救済策は欠かせません。 また、指紋なら生理的に「指紋=犯罪人」というイメージが強いケースがあります(欧米に多い)。採取を拒否される可能性が高く、時には宗教的要素も混在して困難な場合があります。 これに関連して、その登録データの安全性(管理面、運用面など)について、詳
-
5分で絶対に分かるPKI
公開鍵基盤とはいったい何だ Public Key Infrastructure(PKI)は、一般的な日本語訳では「公開鍵暗号基盤」もしくは、「公開鍵暗号方式を利用したセキュリティインフラ」だと言われる。しかしそういわれても、その実体や機能はさっぱり伝わってこない。 一方で、電子署名法の施行や電子政府構想など、社会的にPKIの重要度が確実に高まってきている。いったいPKIとは何なのだろうか、この記事は、わずか5分でその疑問をすっかり解決することに挑戦した。 PKIの分かりにくさは、主に複数の技術の組み合わせであることと、インフラであるがゆえのつかみどころのなさに起因する。しかし、そのコンセプトはそれほど複雑ではない。さっそく説明を始めよう。
-
1
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2024 Hatena. All Rights Reserved.
設定を変更しました