パスキーはパスワードに代わるかんたん安全な認証方法です。生体認証やパターンを使ってログインができるようになります。
パスキーはパスワードに代わるかんたん安全な認証方法です。生体認証やパターンを使ってログインができるようになります。
つい最近PollyPassHashという新しいパスワード管理手法を知りました。 PolyPassHashingについては時間があれば別のポストで書きますが、要約すると、ある一定数の管理者の正しいパスワードが入力されないと暗号化されたパスワードデータベースを復号化できないようにするための仕組みです。 このポストではPolyPassHashingの中核の暗号技術である シャミアの秘密分散法 の紹介とそれを実現する数学的な仕組みを解説したいと思います。 この記事の内容 シャミアの秘密分散法とはなにか 用語 実際にやってみる: Rubyでシャミアの秘密分散 仕組み シェアの計算 シークレットの復元 シャミアの秘密分散法とはなにか 名前からわかるとおり、シャミアの秘密分散法はRSAのアルゴリズムにも貢献した有名なイスラエル人の暗号研究者アディ・シャミアによって作られました。 シャミアの秘密分散法は秘
Award-winning news, views, and insight from the ESET security community Cybercrime The 10 biggest security incidents of 2016 In 2016, companies have had their security solutions tested by increasingly sophisticated cybercriminals. We look at the year's biggest security incidents. 2016 has been a challenging year for politics, public sanity and celebrity longevity, but also, for individuals and com
セキュアサービスエッジ(SSE) ネットワークエッジからリモートユーザーまで、ネットワークとセキュリティのコンバージェンスを拡張します。
Coinhiveは短縮URLサービスも提供している。閲覧者が一定量の仮想通貨を採掘すると、リンク先に自動的にジャンプする仕組みで、例えば、電子書籍のダウンロードサービス運営者が、ダウンロードURLを短縮し、コインを採掘した人だけに提供する――といった使い方が可能だ。 「Captchaの代替になる」サービスもある。ユーザー登録時などに、読みづらい文字を解読して入力させる「Captcha」の代わりに、一定量の採掘を行わせるというもの。Captchaと違って相手が「人間であること」は証明できないが、登録にはCPUパワーというコストを支払う必要があるため、「古典的なCaptchaに匹敵するスパム防止になる」とアピールしている。 サービスに自由に組み込めるAPIも提供。「動画をストリーミング再生している間、仮想通貨の採掘を要求する」「ゲームをプレイしている間に採掘する」といったことも可能になるという
[ロンドン発]サイバーセキュリティー会社トレンドマイクロが昨年1年間のサイバー犯罪を分析したところ、利用者のパソコンを不正に乗っ取って仮想通貨の発掘(マイニング)を行う「コインマイナー」の被害が過去最高を記録しました。203億台に達した「モノのインターネット(IoT)」のデバイスもサイバー犯罪者に狙われているそうです。 トレンドマイクロ社の報告書を見てみましょう。 サイバー銀行強盗2017年は後半から、日本の交換所コインチェックから26万人の顧客が預けていた580億円相当の仮想通貨NEMの不正送金事件に象徴されるように仮想通貨を狙うサイバー攻撃が激増しました。 脆弱性攻撃ツール(エクスプロイトキット、EK)を使用する「EKサイト」はこれまでランサムウェア(パソコンを乗っ取って身代金を要求するマルウェア)やオンライン銀行詐欺ツールをまき散らしていました。 仮想通貨が高騰した5月以降、EKサイ
トレンドマイクロでは 2017 年 1 年間における国内外の脅威動向について分析を行いました。結果、2017 年は様々なサイバー犯罪において特筆すべき変化が起こった「転換期」に位置づけられる年であったと言えます。 2016 年に過去最大規模の被害を発生させた「ランサムウェア」の攻撃総数は、2016 年のおよそ 10 億件から 2017 年はおよそ6億件へと減少しました。しかし、ランサムウェア自体はサイバー犯罪者にとっての「ビジネス」として完全に定着すると共に、より効果的な攻撃を実現させるための攻撃手法の多様化が見られました。2017 年新たに登場した「WannaCry」は 5 月に脆弱性を利用したネットワークワーム活動を取りいれ、6 月以降も継続して拡散を拡大しています。また、既存の「LOCKY」や「CERBER」のような既存のランサムウェアは度重なる改変による多機能化などから、より攻撃し
深刻な「ブラインドSQLインジェクション」の脅威:OWASP AppSec USA 2013 レポート(前編)(2/2 ページ) 漏れていないようで漏れている!? ブラインドSQLインジェクションの脅威 ここからは、筆者らが受講したトレーニングの内容を紹介します。 1つ目は、「The Art Of Exploiting Injection Flaws」です。SQLインジェクションに代表されるインジェクション攻撃について、講師が用意したサーバーへの疑似攻撃を通じ、その攻撃手法を理解するのが目的です。 講師は、「SQL Injection, attacks and defense」の共著者で、ノットソーセキュア(NotSoSecure)創立者のスーミット・シッダールタ(Sumit Siddharth)氏です。 トレーニングでは、基本的なSQLインジェクションの手法から、ブラインドSQLインジェ
以下は、Yahoo!知恵袋での下記質問に対する回答です。 ブラインドSQLインジェクションとは何ですか? できるだけ詳細に教えて下さい 回答した後に、質問が取り消されてしまいました。Yahoo!知恵袋の仕様として、取り消しされた質問は2週間で削除されるため、備忘のため転載します。 ブラインドSQLインジェクションというのは、SQLインジェクション攻撃の一種です。 通常のSQLインジェクション攻撃では、検索結果の文字列が表示されたり、SQLのエラーメッセージが表示される箇所があり、それら表示の一部に、本来とは別のSQL文の検索結果を表示させることで、隠れた情報を表示します。 しかし、SQLインジェクション脆弱性はあるが、表示として検索結果の表示もなく、エラーメッセージにもSQLのエラーが表示されない場合があります。例えば、以下に紹介する例では、指定したメールアドレスが登録済みかどうかのみを返
Charter for Working Group The DNS PRIVate Exchange (DPRIVE) Working Group develops mechanisms to provide confidentiality to DNS transactions in order to address concerns surrounding pervasive monitoring (RFC 7258). The set of DNS requests that an individual makes can provide an attacker with a large amount of information about that individual. DPRIVE aims to deprive the attacker of this informatio
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
