米Microsoftは7月11日(現地時間)、クラウド型の認証管理サービス「Microsoft Azure Active Directory」(Azure AD)の名前を変更すると発表した。新しい名称は「Microsoft Entra ID」。変わるのは名前だけで、機能や料金はこれまで通りという。 関連するサービスの名称も変更する。例えば、無料で利用するときのプラン名「Azure Active Directory Free」は「Microsoft Entra ID Free」に変える。2023年末にかけて、Webサイトやサービス内での表記を順次書き換えていくという。
二段階認証の仕組みと導入時におさえておきたい対策 - RAKUS Developers Blog | ラクス エンジニアブログ
はじめに こんにちはこんばんは! 昨今、セキュリティへの関心が非常に高まっています。 二段階認証を取り入れる企業が多くなってきました。 最近の例で言うと、Githubが2023年3月ごろに二段階認証を義務化したのは記憶に新しいと思います。 そこで、今回は認証の基礎知識をおさらいした上でTOTPを使った二段階認証の仕組みと導入時の注意点について解説します! ※本記事の内容は、ビアバッシュ(社内の技術共有会)にて登壇発表した内容です。 ビアバッシュの取り組みについては以下の記事を読んでみてください! tech-blog.rakus.co.jp はじめに 基礎知識 二要素認証とは? 二段階認証とは? 二要素認証と二段階認証の違い ワンタイムパスワードとは? HOTPとTOTPについて HOTPとは? TOTPとは? TOTPの時刻ズレ対策 導入編 TOTPの時刻ズレ対策の実装 TOTPの注意点
Office 365のアカウントを多要素認証すら回避して乗っ取るAiTMフィッシング攻撃が1万以上の組織を標的にしていたとMicrosoftが公表
Microsoftのセキュリティ研究チームが、HTTPSプロキシ技術を使ってOffice 365アカウントを乗っ取る大規模なフィッシング攻撃キャンペーンである「Adversary-in-the-Middle(AiTM)」が確認できたと発表しました。この攻撃は多要素認証を回避することが可能で、2021年9月以来1万以上の組織が標的になっているとのことです。 From cookie theft to BEC: Attackers use AiTM phishing sites as entry point to further financial fraud - Microsoft Security Blog https://www.microsoft.com/security/blog/2022/07/12/from-cookie-theft-to-bec-attackers-use-ait
技術書典8で頒布予定でした。 ## 概要 ユーザーのIDを管理するのはWebサービスを展開する上で必要になりますが、独自で実装するにはハードルが高いです。外部のサービスを利用することでユーザーのサインアップとサインインを比較的簡単に実現できます。この本ではCognito User Pools、Auth0、Firebase Authenticationを中心にサービスの紹介と比較をします。 ## 本書の目的 「認証サービスCognito Auth0 Firebaseを比べる」を手にとっていただき、ありがとうございます。筆者はこれまで、CognitoUserPoolsを利用してオンプレミスで実装されていた認証システムの移行や、Keycloakを利用したシステムの構築を担当してきました。そのなかで、認証の機能を提供するサービスは数多くあるにもかかわらず、サービスを比較するような情報があまりないと
はじめに この記事はAuth.jsがどのようなものか,どのように実装すればいいかなどをドキュメントを要約しながら紹介するものです. 2024/02/19 追記 Auth.jsはv5で破壊的変更がありました.新たにAuth.jsを学ぶ場合には,特に理由がない限りv5を使うことをお勧めします. Auth.jsはドキュメント整備中です.現在のドキュメントとは内容が異なる場合があります.この記事では旧ドキュメントの内容も交えて解説しています. 今回はNext.js App Router実装編です.前回の記事はこちら 環境構築 JWTを用いたOAuth認証を行うためのNext.js環境を構築します.面倒であれば以下にテンプレートを用意しましたのでご自由にお使いください. まず,Next.jsを作成します.以下のコマンドを実行し,質問に答えながら構築します. √ What is your projec
[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 | DevelopersIO
「Terraform CloudもGithub ActionsみたいにOIDCを使ってAWS認証とかできたら最高だな」 と思ったことはありません? そんな方に朗報です。Terraform CloudがValutとクラウドプロパイダー(AWS,Azure,GCP)に対してOIDCで動的なクレデンシャル生成に対応しました。(beta版 2023/1/31時点 2023/4/9 GAになりました) Terraform Cloud Adds Dynamic Provider Credentials for Vault and Official Cloud Providers 今回はAWSでこのアップデートの内容を試してみました。 アップデート概要 これまでは、Terraform CloudでAWS,Azure,GCPなどにリソースをデプロイする際に、静的なクレデンシャル(AWSだったら、IAMアク
![[アップデート]Terraform CloudがValutやAWS,Azure,Google Cloudに対してOIDCで動的なクレデンシャル生成に対応 | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/6b705c59c81a0f6ffe7f8b44d8e1d34f0b831a08/height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2023%2F02%2Fterraformcloud_1200x630.jpg)
米Twitterは2月15日(現地時間)、テキストメッセージ(以下「SMS」)による2要素認証(以下「2FA」)を有料サービス「Twitter Blue」の会員のみの特権機能に変更すると発表した。 同日から新たな登録ができなくなり、既存のSMS版2FAユーザーは3月20日までにBlue会員にならなければ失効する。Twitterは、失効する前に他の方法に登録し直すことを勧めている。
起業家でエンジニアのルイス・ウェナス氏は、小型ドローンに顔認証システムと人工知能(AI)を組み込むことで、ゲーム感覚で人間を追いかけるドローンを作成したとSNSに投稿しました。ウェナス氏は、わずか数時間で作り上げたそのドローンが武器さえ搭載すれば簡単に自動で人間を殺害するドローンに変貌することを指摘し、AIドローンの兵器利用について警告しています。 we built an AI-controlled homing/killer drone -- full video pic.twitter.com/xJVlkswKaq— Luis Wenus (@luiswenus) AI drone that could hunt and kill people built in just hours by scientist 'for a game' | Live Science https://ww
Googleの各種サービスやYahoo! Japan、LINE、オンラインバンキング、オンラインショッピングなど、Webサービスの利用で頻繁に使うことになるパスワード。ログインしようとしている人が本人かどうかを認証するための仕組みとして使われているが、フィッシング詐欺やパスワードリスト攻撃など、犯罪者による攻撃が後を絶たず、個人情報や金銭が詐取される被害が頻発している。 そうした問題に対抗する技術として、パスワードを使わない認証技術「FIDO」を推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOアライアンスが主催するイベントに合わせて来日したエグゼクティブディレクター兼最高マーケティング責任者であるアンドリュー・シキア氏と、FIDOを推進するNTTドコモのチーフセキュリティアーキテクトである森山光一氏が、FIDOと新しいパスキーに関して説明。FIDOでは、「パスワ
テクニカルトレーナーと学ぶ AWS IAM ロール ~ ここが知りたかった ! つまずきやすい部分を理解してモヤっとを解消 - 変化を求めるデベロッパーを応援するウェブマガジン | AWS
こんにちは ! テクニカルトレーナーの杉本圭太です ! 最近読んで面白かった漫画は「あかねさす柘榴の都」と「クジマ歌えば家ほろろ」です。 今回は IAM ロールの説明を、私なりに感じた「理解する時につまずきやすい部分」を紹介する形式でお伝えします ! これは自身の経験やトレーニングの受講者からよくいただく相談などを踏まえたものなので、今まで IAM ロールの説明を聞いたり読んだりしてきたけどいまいちピンときていない方に、ぜひモヤッとを解消していただきたいです ( ・∀・)=b というのも、私は業務でお客様に AWS の様々なトレーニング を提供しているのですが、AWS Identity and Access Management (IAM) について説明をした後に「トレーニングを受講したことで、今まで難しいと感じていた IAM ロールを理解できた !」と言っていただくことがあります。そのた
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の全4記事中の3記事目です。前回はこちら。 www.m3tech.blog 9 JWT の実装 9.1 JWT概説 9.2 OpenID Connect の JWT 9.3 ヘッダーとペイロードの実装 9.4 署名の実装 公開鍵と秘密鍵を生成する 署名処理を作る 10 JWKS URI の実装 (GET /openid-connect/jwks) 11 RelyingParty で ID トークンの検証をする 12 OpenID Connect Discovery エンドポイントの実装 (GET /openid-connect/.well-known/openid-configuration) まとめ We're hiring 今回は全4回中の第3回目です。 (
皆さんこんにちは、とらのあなラボのY.Fです。 先日、弊社エンジニアが開発で関わっているCreatiaで、以下のお知らせが投稿されました。 【新機能のご案内】#クリエイティア にて、『パスワードレスログイン』機能をリリースいたしました。 パスワードの代わりに指紋や顔認証、PINコードを使って、スムーズかつ安全にクリエイティアにログインできるようになりました! ▶詳細は下記記事をご参照くださいhttps://t.co/FzsVIAl7Sp— クリエイティア[Creatia]@ファンクラブ開設費無料! (@creatia_cc) 2023年6月8日 弊社のサービスは、とらのあな通販やサークルポータル除いて、ほぼRuby on Railsを利用しています。 speakerdeck.com 今回の記事では、Ruby on Rails + WebAuthnについて、調べたことなどをまとめてみたいと思
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。しかし、使い方を誤るとYubiKeyなどのハードウェア認証デバイスが使い物にならなくなってしまうとして、RustのWebAuthnライブラリを作成しているウィリアム・ブラウンさんが注意を促しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/ パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。クライアント側に鍵を保存しない場合、あらかじめ認証に利用する鍵を生
NTTドコモは8月23日、「ドコモメール」に、送信ドメインによる認証技術「DMARC」「DKIM」を導入した。なりすましメールなどをより高精度に判別し、フィッシング詐欺による被害などを低減する目的。 DMARCは、メールヘッダに含まれる送信ドメインを認証する技術。DKIMはDMARCの認証手段だ。これらの技術により、企業の公式アカウントから送信された正規メールと判定できたメールには、公式アカウントマークを表示する。 ドコモメールは2021年から、送信ドメイン認証技術「SPF」を採用。SPFにより公式アカウントから送信されたメールと判定できた場合に、公式アカウントマークを表示してきた。 ドコモメールの「迷惑メールおまかせブロック」「詐欺/ウイルスメール拒否」「ドコモメール公式アカウント」機能(それぞれ無料)を通じてユーザーに提供する。各サービスは、新規契約時に自動で適用されている。 関連記事
JWS/JWE/JWT/IDトークンの包含関係 JWS (JSON Web Signature) と JWE (JSON Web Encryption) の直列化方法には、それぞれ JSON 形式とコンパクト形式がある。 JWT (JSON Web Token) は JWS か JWE だが、いずれにしてもコンパクト形式である。仕様でそう決まっている。 仕様により、ID トークンには署名が必要なので、ID トークンは JWS もしくは「JWS を含む JWE」という形式をとる。 ID トークンは「JWE を含む JWS」という形式はとらない。なぜなら、仕様により、ID トークンを暗号化する際は「署名してから暗号化」という順番と決まっているため。 アクセストークン/JWT/IDトークンの包含関係 アクセストークンの実装が JWT だとは限らない。 仕様により、ID トークンは必ず JWT で
ユーザーの識別では、1つのヘルメットを複数人で共有することを想定しており、ユーザーの圧力センサーデータをあらかじめ登録し、ヘルメットをかぶった人が誰かを識別する。登録のない人がヘルメットをかぶることを考慮していないため、非登録者がかぶった場合、識別結果は登録者の中で最もデータが近い人となる。 ユーザー識別では、学習データから抽出した特徴量からサポートベクターマシン(SVM)を使って認識モデルを構築し、未知の登録者の入力データの特徴量から識別結果を出力している。 個人認証では、ヘルメットをかぶっている人が正しい人かどうかを判断する。あらかじめ、その人の圧力センサーデータのみを登録し、かぶった際に真偽判定する。もしくは複数人で1つのヘルメットを共有する場合は、ヘルメットをかぶるときにあらかじめ決めておいたIDを入力し、対応する圧力センサーデータと合致すると認証する。 この場合、IDと圧力センサ
スマホを買い替えても二要素認証を継続できるWebAuthn Level3 | IIJ Engineers Blog
社会人生活の半分をフリーランス、半分をIIJで過ごすエンジニア。元々はアプリケーション屋だったはずが、クラウドと出会ったばかりに半身をインフラ屋に売り渡す羽目に。現在はコンテナ技術に傾倒中だが語りだすと長いので割愛。タグをつけるならコンテナ、クラウド、ロードバイク、うどん。 GitHubが2023年末までに二要素認証を必須にすることを発表しました。直接的なトリガーは先日のherokuの一件だと思いますが、すでにGoogleは2FAを必須としているように、同様の動きが業界全体へ広まるのは間違いありません。ちなみに、GW中にherokuからパスワードの強制リセットのお知らせが届きました(ユーザだったんです)。どうやら影響範囲はトークンだけではなかったようですね。きっと、耳を覆いたくなるようなアナウンスがこれからあるのでしょう。 https://www.itmedia.co.jp/news/ar
パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など
パスワードレスを実現するFIDO/WebAuthのさらなる普及へ、新提案を公開。デバイス間でのクレデンシャル同期、Bluetooth経由でのローミング認証器など 一般にWebサービスなどへのログインには、ユーザー名とパスワードの組み合わせが使われます。しかしこのパスワードの情報などが漏洩することで、企業や個人に大きな損失を与える事故が繰り返されてきました。 そこで、ユーザー名とパスワードの組み合わせの代わりにスマートフォンなどのデバイス内に保存したクレデンシャルを用いてユーザー認証を行い、パスワードの入力を不要にする技術が登場しています。 業界標準となっているのが、FIDOアライアンスによる「FIDO2」と、それをW3CのWeb標準として策定した「Web Authentication」(WebAuthn)です(以下、FIDO/WebAuthn)。 ユーザーはスマートフォンなどのデバイスに対
OAuth 2.0 PlaygroundでOAuth 2.0のクライアントの気持ちになろう | DevelopersIO
OAuth 2.0に対応したAPIクライアントのアプリを書きたい気持ちになったのですが、テストをどうするか考えながらOSSの認可サーバーをローカルに立てたりするかなど考えていたら、OAuth 2.0 Playgroundというものを知りました。 こちらは実際に認可サーバーを使ってOAuth 2.0 のクライアントの気持ちになれるチュートリアルで、良さそうだったので紹介します。 OAuth 2.0 Playground okta社によって提供されている、OAuth 2.0 とOIDCのフローを、実際に体験するためのチュートリアルです。 Authorization Code PKCE Implicit Device Code OpenID Connect に対応しており、実際に認可サーバーを叩きながらインタラクティブに学ぶことができます。 やってみる 今回はAuthorization Code
こんにちは、SSTでWeb脆弱性診断用のツール(スキャンツール)開発をしている坂本(Twitter, GitHub)です。 最近 WebAuthn *1 を触る機会がありました。 WebAuthnを使うと、Webアプリのログインで指紋認証や顔認証など多要素認証を組み込むことが可能となります。 一方で脆弱性診断の観点から見ると、burpやzapなどのスキャンツールで WebAuthnを使ったログイン処理をどうやって再現するかが悩ましく感じました。 もちろん、2022年2月時点でほとんどの(筆者の知る限りではすべての)Webサイトで WebAuthn を始めとする多要素認証はオプション扱いです。 多要素認証のフローそのものの診断を要望されない限りは、従来のID/パスワード認証によるログイン処理でスキャンや手動診断が可能です。 とはいえ転ばぬ先の杖と言いますし、診断ツールを開発している筆者として
サーバレスのバックエンド作成サービス「AWS Amplify」で認証認可機能付きのダッシュボードを作る
「Amazon Web Services」(AWS)活用における便利な小技を簡潔に紹介する連載「AWSチートシート」。今回は「AWS Amplify」を使って認証認可機能付きのダッシュボードを作成します。 「AWS Amplify」とは Amplifyの公式サイトでは下記のように説明されています。 AWS Amplifyは、それぞれを連携させたり個別で使用したりできる、ツールとサービスのセットです。これらの機能により、フロントエンドウェブおよびモバイルのデベロッパーが、AWSによるスケーラブルなフルスタックアプリケーションをビルドできるようにします。Amplifyを使用するお客様は、数分の内にバックエンドを構成しアプリケーションと接続でき、また、静的なウェブアプリケーションのデプロイは数クリックだけで実行できます。さらに、AWSコンソールの外部でも、簡単にアプリケーションコンテンツの管理が
書籍『パスキーのすすめ』でパスワードレスな認証の世界に飛び込んでみよう #技術書典 | DevelopersIO
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。 パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの? もっとセキュアになったの? サイトによってUXが違うんだけど? このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。 著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito
こんにちは、セキュリティエンジニアの岩田です。今回は「擬似サイバー攻撃演習」と銘打って行った社内の演習についてご紹介します。 擬似サイバー攻撃演習とは? 実際のサイバー攻撃をシミュレーションして実施することで、現在行なっているセキュリティ対策が有効に機能しているかを検証するための演習です。「レッドチーム演習」や「脅威ベースのペネトレーションテスト(TLPT)」などと呼ばれるものと同様の試みですが、誰にでもより直感的に内容が伝わるようにこの名称にしました。 今回は2要素認証を回避するフィッシング攻撃によって実環境のID管理サービス(IDaaS)のアカウントを乗っ取って侵入し、機密情報を盗み出す攻撃シナリオで演習を行いました。 具体的には、攻撃者がフィッシングメールをユーザーに送ってフィッシングサイトに誘導し、ユーザーからのフィッシングサイトへのリクエスト内容をそのまま実際のサイトに転送するこ
Oso - Authorization Academy
Concepts. Architecture. Best Practices. A series of technical guides for building application authorization. Authorization is a critical element of every application, but the problem is: there’s limited concrete material available for developers on how to build authorization into your app. To help developers build these systems and features, we built Authorization Academy.
デジタル庁は、事業者向け共通認証サービス「gBizID(GビズID)」に不具合があり、利用者の個人情報の漏洩があったと3月30日に発表した。事業者が同サービスで自社の利用者情報を取得する際に、プログラムのバグが原因で他社の利用者情報も取得できた。現在は利用者情報を取得する機能を停止している。GビズIDは事業者などが国に行政サービスの電子申請などをする際に利用する共通認証サービスである。企業の代
AWSではいろいろなサービスを組み合わせて情報を守る AWS上に構築したシステム、データを安全に管理するにはどうすればよいでしょうか。 オンプレミスの場合、データセンターにサーバー機器を設置して、設定を行い、インターネット回線を敷設して、やっとインターネット経由でシステムが操作できるようになります。また、勝手にデータセンターに入られて、新たに大きなシステムを勝手に作られるといった心配はないでしょう。 AWS(クラウド)の場合はどうでしょうか。AWSアカウントを作成した直後に、管理者ユーザー(ルートユーザー)でログインして操作を行います。つまり、このユーザー情報が第三者に漏れると、AWSアカウント内で任意の操作を第三者が実行できるようになり、不正アクセスされてしまいます。アカウント作成直後であれば機密情報は無いですが、不正にEC2などのリソースを大量に作成するといったことは可能です。そのため
1Passwordの指紋認証でaws cliが使える!1Password Shell Pluginsがすごい! | DevelopersIO
以下のGIFを見てください! クレデンシャルを利用したaws cliを実行が、指紋認証だけで実現できています!このcli実行は、MFAを設定したIAM UserからIAM Roleにassume roleし、実行されています。 実現には以下の1Password Shell Pluginsを使っています。 設定してみる 公式ドキュメントに従って設定します。 注意点! MFAのワンタイムパスワードを1Passwordに設定する際に、属性名がOne-Time Passwordじゃないとプラグインが動作しません。 日本語設定しているとワンタイムパスワードという名前で作成されてしまう場合があるようです。One-Time Passwordにリネームしましょう。 感想 最高かよ。 MFAトークンの入力でいままでトータル2億年くらい時間ロスしていましたが、それが指紋認証でスッと完了します!爽快です! 余談
Flutter3 と Amplify UI Components で認証付きのWebページを作ってみました | DevelopersIO
1 はじめに CX事業本部デリバリー部の平内(SIN)です。 Flutterは、iOS・Androidなどで共通したUIを一度に作ることができるフレームワークですが、Webアプリでも利用することができます。 今回は、Amplify UI Components を使用して、簡単に認証付きのWebページを作成してみました。 なお、Flutter対応のAmplify Authenticationは、2022/08/28現在、Developers Previewであり、Flutter SDK 3.0.0以上が必要です。 https://ui.docs.amplify.aws/flutter/connected-components/authenticator https://docs.amplify.aws/lib/auth/getting-started/q/platform/flutter/#
経済産業省は20日、クレジットカードの不正利用防止に向けた対策をまとめた。カード発行会社や電子商取引(EC)サイト事業者に、カード利用者の本人確認のための「ワンタイムパスワード」や生体認証などの導入を義務づける。2024年度末を期限とする。キャッシュレスの拡大に向け、安心してカードを使える環境を整える。 経産省の検討会が同日、報告書をまとめた。①カード情報の漏洩防止②不正利用防止③犯罪抑止・広報周知――を柱として対策強化に取り組むとした。 経産省は報告書で、ECサイトなどのログイン時に一定時間のみ有効な数字列を発行する「ワンタイムパスワード」や、指紋や顔を事前登録して照合する生体認証を通じてカードの利用者が本人であることを確かめる仕組みの導入を義務化すると明記した。 すべてのEC加盟店でVISAやマスターといった国際ブランド6社でつくる団体が提供する「EMV-3Dセキュア」と呼ぶ本人認証の
Amazon Verified Permissionsとgolangで認可処理を実装してみた - Techtouch Developers Blog
Amazon Verified Permissions とは 従来の認可処理 Cedar 言語の使い方 基本的な記述方法 RBAC の例 ABAC の例 golang で動かしてみる 1. ポリシーストアを AWS コンソールから作成する 3. サンプルアプリケーションの実装 最後に こんにちは、2023年5月にバックエンドエンジニアとしてジョインした yamanoi です。 最近は Cloudflare スタックに注目しており、新機能を触ったりアップデートを眺めたりしています。 今回は先日 GA (一般利用可能)になった AWS のサービス Amazon Verified Permissions を、 golang で実装した簡単なサンプルを交えて紹介したいと思います。 Amazon Verified Permissions とは Amazon Verified Permissions
freeeの礎となる認証認可基盤のマイクロサービス化プロジェクトの経緯と振り返り - freee Developers Hub
こんにちは、認証認可基盤・課金基盤のエンジニアリングマネージャーを務めている muraと申します。直近2年間は、今回お話しするfreeeの認証認可基盤のマイクロサービス化のプロジェクトにバックエンドエンジニア、エンジニアリングマネージャーとして携わってました。最近はfreeeが利用する課金基盤のエンジニアリングマネージャーも兼務するようになり、本格的にマネージャーの道を歩み始めたところになります。 本日は、私が2年間携わってきた「認証認可基盤のマイクロサービス化」のプロジェクトについてお話しします。このプロジェクトは私が入社するより前の2019年から進められてきたプロジェクトで、2022年6月末に移行に一区切りがついたものになります。プロジェクトの始まった経緯や実際の移行作業に加えて、4年間という長期間のプロジェクトへの振り返りについてお話させて頂ければと思います。 freeeの認証認可基
無料で二要素認証のワンタイムパスワードを発行可能&デバイス間エクスポートもできるオープンソースアプリ「Aegis Authenticator」、特定の企業に依存する危険性がなくなり安全
ウェブサービスを安全に使用する手段の1つとして、「ワンタイムパスワード発行サービスを利用する」という方法があります。ワンタイムパスワードを生成するアプリとしては「Google Authenticator」「Microsoft Authenticator」「Authy」といったアプリが広く利用されていますが、これらのアプリはGoogleやMicrosoftなどの企業によって開発されたものであり、透明性や信頼性に不安を感じる人もいるはず。オープンソースで開発されているAndroid向けのワンタイムパスワード発行アプリ「Aegis Authenticator」を使えば、特定の企業に依存せず二要素認証によるセキュリティ強化を実行できるだけでなく、Google Authenticatorでは不可能な「ワンタイムパスワードの不可視化」なども可能となります。 Aegis Authenticator -
AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と認可エンジンをオープンソースで公開
AWS、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と認可エンジンをオープンソースで公開 Amazon Web Services(AWS)は、アプリケーション内できめ細かなアクセス制御を実現するポリシー言語「Cedar」と、Cedarに対応した認可エンジンをオープンソースで公開したことを発表しました。 CedarはAmazon Verified Permissionsで使われている言語 Cedarは昨年(2022年)末に開催されたイベント「AWS re:Invent 2022」で発表された新サービス「Amazon Verified Permissions」(現在プレビュー中)で使われているポリシー言語です。 一般にクラウドで提供されるアプリケーションのほとんどは、例えば管理者のみ参照できる画面やデータ、ユーザー本人のみ可能な操作や参照可能なデータ、ユーザー
通常のID+パスワードの認証にくわえて、SMSやワンタイムパスワード、プッシュ通知など別個の認証をさらに要求する「多要素認証(2段階認証とも)」は、パスワードの盗難などによるアカウント詐取を未然に防いでくれるため、金融機関をはじめとするさまざまなITサービスで急速に普及が進んでいます。そんな多要素認証について、「プッシュ通知を出しまくってユーザーのうっかりミスを待つ」という新たな攻撃手法が「Microsoft Office 365」で続発していると報告されています。 Current MFA Fatigue Attack Campaign Targeting Microsoft Office 365 Users - GoSecure https://www.gosecure.net/blog/2022/02/14/current-mfa-fatigue-attack-campaign-tar
7 年間溜めた AWS IAM AWS 管理ポリシーへの愛を語りました #devio2022 | DevelopersIO
7 年前からが好きだよ AWS 管理ポリシー コンバンハ、千葉(幸)です。 弊社主催のオンラインイベントDevelopersIO 2022の「アルティメットLT AWS愛を語り尽くす!AWS バーサス クラスメソッド 〜むしろお前が好きだよ〜」で AWS IAM AWS 管理ポリシーへの愛を語ってきました。 ここが好きだよ AWS 管理ポリシー 好きなポイントをかいつまんで書きます。 新サービスや新機能の発表の前に作成・更新されていることがある 新サービスや新機能が発表される前から、それらのための AWS 管理ポリシーが作成・更新されていることが多いです。 AWS管理ポリシーの更新をウォッチすることで、「もしかしたらこんなことできるようになるのかな?」という想像が捗ったりします。 数が多い 2022/8/1 時点で 960個以上の AWS 管理ポリシーがありました。推しを見つけたくなります
Next.jsの認証チェックどこでするか問題 基本的には middleware.ts で行うと思うのですが、肥大化を避けたり、ちょっとした共通処理は layout.tsx に書くこともあるでしょう。今回は layout.tsx で認証チェックをした場合に、実装によっては意図せず認証ユーザにしか表示したくない情報が漏洩してしまうかもしれないケースを紹介します。 問題のあるコード import { redirect } from "next/navigation"; export const dynamic = 'force-dynamic'; function currentUser() { // ここでセッションデータから認証ユーザ情報を取得する関数 // デモ用にログインしていないユーザを再現したいのでfalseを返す return false; } export default fun
おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか? www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね!今回はFIDOの話をしましょう。 パスワード認証はもう終わり!時代はパスワードレス認証ですよと言い続けてはや数年経ちましたが、最近こんなプレスリリースが出ていました。 prtimes.jp すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。 何やら大ごと感ありますが、3行でまと
2要素認証によるGitHubアカウントの保護
GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。 Git操作に対するパスワードベースの認証を廃止 2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナル
こんにちは、IDチームのすかんくです。 今回は「Azure AD Connect」と「オンプレ AD の廃止」について考えてみました。 執筆の背景 日々お客様と会話する中でこんな悩みが多くあるということに気付きました。 「将来的にはオンプレ AD を廃止して、Azure AD(またはその他 IDaaS)に寄せたいと思ってる」 「一方で、現状はオンプレ AD でユーザーやデバイス管理しているので、Azure AD Connect の導入を検討している」 「しかし Azure AD Connect を導入したら、オンプレ AD の廃止に逆行していそうで躊躇している」 オンプレ AD に関連するコンポーネントを追加することで、よりオンプレ AD 依存度が高まるのでは?という疑問は至極当然のものだと思います。 しかしながら Azure AD Connect に関しては寧ろその逆で、周辺機能も含め上
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「Azure AD」名称変更 「Microsoft Entra ID」に 機能は変わらず
認証サービスCognito・Auth0・Firebaseを比べる - s-takayanagi - BOOTH
Auth.jsを完全に理解する (Next.js App Router 実装編) #2 - Qiita
Twitter、SMSによる2FAはBlueユーザーのみに変更 非Blueユーザーは3月20日に無効に
AIと顔認証を組み込んだ「人間狩りをするAIドローン」がわずか数時間で完成
パスワードを使わない認証技術「FIDO」が進化 デバイスやOSを越えて利用可能に
フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ
RailsプロダクトへのWebAuthn導入に向けての取り組み - 虎の穴開発室ブログ
ドコモメール、送信ドメイン認証「DMARC」「DKIM」導入 フィッシング防止
「LINE」へのQRコードログインに脆弱性、1年半以上にわたり556件に被害/PINコードを用いた2要素認証をバイパス。すでに修正済み
図解 JWS/JWE/JWT/IDトークン/アクセストークンの包含関係 - Qiita
頭の形で個人認証できるヘルメット、立命館大などが開発 工事現場での作業員識別などに活用
WebAuthnをエミュレートするWebアプリの開発 - セキュアスカイプラス
同僚に2要素認証を回避するフィッシング攻撃(の演習)をしてみた - SmartHR Tech Blog
デジタル庁認証サービスで個人情報漏洩 バグが原因 - 日本経済新聞
AWS IAMとは何か?クラウドで重要な認証・認可の基礎を理解する
クレジットカード決済、本人認証機能の導入義務化 24年度末までに - 日本経済新聞
プッシュ通知を出しまくってユーザーのうっかりミスを待つ多要素認証攻撃が続発中
Next.jsのlayout.tsxで認証チェックすると情報漏洩するかも
FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife
Azure AD Connect導入がオンプレAD廃止の足掛かりになるって、どういうこと?