Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
Advanced Microsoft Authenticator security features are now generally available! After announcing the public preview of critical Microsoft Authenticator security features, we’re thrilled today to share that these features are now Generally Available for you to further secure your organization: Admins can now prevent accidental approvals in Microsoft Authenticator with number matching, location cont
Protecting users from MFA fatigue attacks With increasing adoption of strong authentication, multi-factor authentication (MFA) fatigue attacks (aka, MFA spamming) have become more prevalent. These attacks rely on the user’s ability to approve a simple voice, SMS or push notification that doesn’t require the user to have context of the session they are authenticating. Anytime users are doing “click
ProductSecuritySoftware security starts with the developer: Securing developer accounts with 2FAGitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023. The software supply chain starts with the developer. Developer accounts are frequent targets for social engineering and account takeover, and protecting deve
同氏によると、現在GitHubで2FAを使っているのは全アクティブユーザーの約16.5%のみ。傘下のnpmにいたっては、わずか6.44%のみという。 npmは2月、上位100のライブラリのメンテナに2FAを義務付けた。5月末までに上位500に拡大する計画だ。 関連記事 「ロシアをGitHubから切り離して」の意見に公式が返答 「私たちのビジョンは、全ての開発者のホームになること」 「GitHubからロシアを切り離して」──ロシアのウクライナ侵攻を受けて、このような件名の投稿がGitHub上に掲載された。さまざまな物議を醸したが、GitHubは「私たちのビジョンは、どこに住んでいても、全ての開発者のホームになることだ」と返答をした。 GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に GitHub傘下のパッケージリポジトリnpmは、上位100のライブラリのメンテナは2要素
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
米国土安全保障省 (DHS) の Cybersecurity & Infrastructure Security Agency (CISA) は8月30日、単一要素認証をサイバーセキュリティのバッドプラクティスリストに追加した (ニュースリリース)。 単一要素認証では、パスワードなど単一要素がユーザー名に一致するだけでシステムへのアクセスが可能になる。そのため、単一要素認証は一般的な低セキュリティ認証方法となっている。バッドプラクティスはすべての組織が回避すべきだが、重要インフラや国家の重要機能 (NCF) を担う組織ではとりわけ危険とのこと。 現在、CISA がバッドプラクティスとしているのは以下 3 件。 サポートされないソフトウェアの使用既知/固定/デフォルトパスワードの使用単一要素認証の使用 重要インフラや NCF を担う組織以外でも避けるべきであり、特にインターネットからアクセス
GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。 Git操作に対するパスワードベースの認証を廃止 2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナル
おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (やFIDO)という技術をご存知でしょうか。(ご存知ない方は "WebAuthn builderscon" "WebAuthn droidkaigi" などで検索してみましょう) 今回の話をするにあたって、WebAuthnがどんなものかをある程度理解しておく必要があります。 公開鍵暗号の仕組みを利用 パスワード認証のようにユーザーとログイン対象のWebアプリケーションがパスワードを共有する
ニンテンドーアカウントに「二段階認証」を設定すると、ログイン時に「メールアドレス(またはログインID)とパスワード」による認証に加え、一定時間だけ有効な「認証コード」の入力が必要になり、より安全にログインすることができます。 認証コードは毎回変化し再利用できないため、第三者による不正ログインの防止に有効です。
本記事は、 2019 年 10 月 3 日に Azure Active Directory Identity Blog に公開された記事 (All your creds are belong to us!) を翻訳したものです。原文は こちら より参照ください。 先日ですが、お客様がアカウント乗っ取り (ATO) の標的となり、我々のチームが支援したということがありました。SMS と Authenticator アプリを使用して 2 段階認証を必須にしてアカウントを保護していたにも関わらず、攻撃者はアカウントに侵入し、パスワードが変更されていました。 MFA は破られてしまったのです。 前回のブログでは、パスワードで攻撃は防げない こと、多要素認証 (MFA) であれば攻撃を防げることを解説しました。ただ、何人かの方が「MFA は万能薬ではない」とコメントくださりました。標的型攻撃など攻撃
Money Forwardから「二段階認証解除しといたわ」ってメールが届いて戦慄してる。普通そんなことやる??
おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシャーと別方向に威嚇をしてきたのがこちらの猫となります。 狙ったってなんだよ狙ったって。 せめて対応したにしろよ。 悪者だってコストかけてんだよ。 そしてFIDOアライアンスなにしてんの? えっホント?「2段階認証」を狙った詐欺サイトに注意喚起 - NAVER まとめ https://t.co/oQT0epCJ3X— 👹秋田の猫🐱 (@ritou) 2019年11月6日 FIDOアライアンス氏、イベントもいいけど、こういうときになんとかならんのですか 進化するフィッシング攻撃。従来のフィッシング攻撃対策の常識がむしろ被害を拡大させる
Google では、ユーザーのアカウントを安全に保つ方法を常に模索しており、既存システムの見直しや改善も、このような取り組みに含まれています。 Google では、現在 Google アカウントの確認のバックエンド システムの改善を行っています。大多数のユーザーはこの変更の影響を受けませんが、2 段階認証用コードの受信にキャリアメール(たとえば、ドメインが @docomo.ne.jp、@ezweb.ne.jp、@softbank.ne.jp 等のメールアドレス)を指定している場合、12 月 1 日以降は、ログイン用の確認コードを受け取れなくなります。 2 段階認証のコードが受信できないと、Google アカウントにログインできなくなります。ご自身のアカウントで 2 段階認証を有効にしており、確認コードの受信にキャリアメールを設定している方は、ログインできなくならないように、速やかに 2 段
米国大手のソーシャルニュースサイトRedditが不正アクセスを受け、顧客の情報を漏えいしていたと発表しました。japan.zdnet.com ■公式発表 We had a security incident. Here's what you need to know. Redditは、システムが侵入を受け、ユーザーデータに不正アクセスされたことを明らかにした。被害に遭ったのは、現在も使われているメールアドレスやソルト付きのハッシュ化されたパスワードなど、2007年のデータベースバックアップに含まれていたデータだ。 Redditは米国時間8月1日、ハッカーがSMSの傍受を通じ、6月14日から18日にかけていくつかの従業員アカウントにアクセスしたとユーザーに報告した。Redditが攻撃に気づいたのは6月19日で、その後に脅威を緩和し、再びこうしたことが起こらないようにシステムとプロセスを改善し
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(1/3 ページ) ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証システム「PassLogic」や、
なぜSMSを使った2段階認証が最善の選択肢ではないのか、その他にどのような選択肢があるのか、考えてみましょう。 長らくコンピューターマニアの領分だった2段階認証(2FA)ですが、ここ数年、ようやく日常的な話題として上がるようになってきました。しかし、そのほとんどが、SMS経由で送られるワンタイムパスワードを使った2段階認証の話に留まっています。悲しいことに、これがいちばん信頼できる選択肢というわけではないのです。理由はいくつかあります。 ロック画面上に通知を表示する設定になっている場合、SMSで送信されたパスワードは簡単にのぞき見られてしまいます。 通知をオフにしてあっても、SIMカードを別のスマートフォンに移し替えられてしまった場合、移し替えた先のスマートフォンで、パスワードの書かれたSMSメッセージが見られてしまいます。 スマートフォン内に潜むトロイの木馬に、パスワードが書かれたSMS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
