どこかでこっそりやった勉強会の資料を公開します。
Protecting users from MFA fatigue attacks With increasing adoption of strong authentication, multi-factor authentication (MFA) fatigue attacks (aka, MFA spamming) have become more prevalent. These attacks rely on the user’s ability to approve a simple voice, SMS or push notification that doesn’t require the user to have context of the session they are authenticating. Anytime users are doing “click
HomeNewsSecurityMicrosoft Teams stores auth tokens as cleartext in Windows, Linux, Macs Microsoft Teams stores auth tokens as cleartext in Windows, Linux, Macs Security analysts have found a severe security vulnerability in the desktop app for Microsoft Teams that gives threat actors access to authentication tokens and accounts with multi-factor authentication (MFA) turned on. Microsoft Teams is a
Webの世界を大きく変えるかもしれない分散ID標準規格「DIDs」についてえーじさんに聞いてみました。 Web技術の標準化団体「World Wide Web Consortium(W3C)」は7月19日、分散IDの標準規格「DIDs(Decentralized Identifiers)」のv1.0を勧告しました。この勧告をきっかけに、DIDsだけではなく、Web3やWeb5と呼ばれる非中央集権的なWeb世界やその要素技術であるブロックチェーンへの関心が高まっています。一方で、これまでのいわゆる中央集権的なWebの世界で使われてきたID管理とDIDsは何が異なるのか、一般の人々にはまだあまり理解が浸透していないようです。 DIDsが標準規格となったことで、Webの世界にはどんな影響があらわれるのか - 今回の「Ask the Expert」ではWebの標準技術に精通したエキスパートのえーじ(
ritouです。 背景 これまで数年に渡り、「新規登録/ログイン時に登録状態がわかるレスポンスを返してくれるな。」というお話をしてきました。 SMSやEmailを入力して認証コードなどを送るタイプのログイン方法でも同様の実装は可能であり、表向きは「認証コードを送信したよ。受け取った値を入れてくれよな。」としつつ実際は既に登録済みだからログインからこい、未登録だから新規登録から来い見たいな内容を送りつつ、画面では正規のユーザーと同様のトークンなりを送り検証が絶対通らん! みたいなのを実装したりしています。 ではこれをWebAuthnなりネイティブ機能で提供されるFIDO認証でこれを実現したいとなった時にどうしたら良いか、細かく考えたらやっぱりめんどいなって話をします。 想定する環境 パスワード認証と組み合わせる2FA用途ではなく、FIDO認証のみでログインさせる 最初にユーザー識別を行うかど
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
Apple、Google、マイクロソフトが対応表明した、パスワードレスがさらに便利になる2つの新機能とは。 PCがスマホとBluetooth通信でパスワード不要に、2台目のスマホにもクレデンシャルを簡単リストア インターネットにおけるパスワードレスの実現を推進する「FIDO Alliance」は、 Apple、Google、マイクロソフトの3社が、同団体が推進するパスワードレス認証のサポートを拡大すると発表しました。 Today, we are excited to share that @Apple @Google @Microsoft are aligned with this vision and will be implementing multi-device FIDO credentials over the course of the coming year! https
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか? www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね!今回はFIDOの話をしましょう。 パスワード認証はもう終わり!時代はパスワードレス認証ですよと言い続けてはや数年経ちましたが、最近こんなプレスリリースが出ていました。 prtimes.jp すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。 何やら大ごと感ありますが、3行でまと
Yahoo! JAPAN is one of the largest media companies in Japan, providing services such as search, news, e-commerce, and e-mail. Over 50 million users log in to Yahoo! JAPAN services every month. Over the years, there were many attacks on user accounts and issues that led to lost account access. Most of these issues were related to password usage for authentication. With recent advances in authentica
ProductSecuritySoftware security starts with the developer: Securing developer accounts with 2FAGitHub will require all users who contribute code on GitHub.com to enable one or more forms of two-factor authentication (2FA) by the end of 2023. The software supply chain starts with the developer. Developer accounts are frequent targets for social engineering and account takeover, and protecting deve
同氏によると、現在GitHubで2FAを使っているのは全アクティブユーザーの約16.5%のみ。傘下のnpmにいたっては、わずか6.44%のみという。 npmは2月、上位100のライブラリのメンテナに2FAを義務付けた。5月末までに上位500に拡大する計画だ。 関連記事 「ロシアをGitHubから切り離して」の意見に公式が返答 「私たちのビジョンは、全ての開発者のホームになること」 「GitHubからロシアを切り離して」──ロシアのウクライナ侵攻を受けて、このような件名の投稿がGitHub上に掲載された。さまざまな物議を醸したが、GitHubは「私たちのビジョンは、どこに住んでいても、全ての開発者のホームになることだ」と返答をした。 GitHub傘下のnpm、上位100のパッケージメンテナは2FA必須に GitHub傘下のパッケージリポジトリnpmは、上位100のライブラリのメンテナは2要素
Appleは、フィッシング攻撃の可能性のあるSMS経由で送信された2ファクタ認証コードの自動入力のブロックを開始し、SMSのメッセージの形式を変更しました。 フィッシングサイトでの自動入力をブロック Appleの2ファクタ認証コードの自動入力機能は、SMSで送られてくる認証コードを入力する手間が省ける便利な機能です。しかし、ユーザーが、攻撃者によって作成された偽サイトへのリンクをクリックすると、認証コードが自動で入力され、ユーザーがフィッシングの被害を受けてしまう可能性がありました。 Appleはこの問題に対処するため、偽サイトにおける自動入力をブロックするより安全な新しいフォーマットで認証コードをSMSで送信するよう企業に呼びかけています。 新しいフォーマットでは、Webサイトと2ファクタ認証コードを送信したドメインが一致した場合にのみ、認証コードの自動入力が行われるよう変更が加えられて
おはようございます。ritouです。 Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2021 - Qiita 4日目の記事です。 前にこんなTweetをしてしまったので書きます。 参考記事 ITS SINGLE STEP NOT FACTOR — clarifying more FIDO terminology | by Ackermann Yuriy | WebAuthn Works | Nov, 2021 | Medium いろんなサービスで2段階認証やられてますね。FIDOだと2要素認証だと言われてます。でも、プラットフォームの生体認証使ったりセキュリティキーに生体認証載ったら一回のユーザーアクションでいけますよね?それって段階としては1ですか?要素は2?要素と段階どっちが強いんです?…みたいな混乱を解消するための記事で
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
