Auth0 Marketplace Discover and enable the integrations you need to solve identity Explore Auth0 Marketplace Okta Japan株式会社は、Auth0株式会社と統合し、2022年2月7日よりワンチームとして業務を開始します。 日本国内のアイデンティティ管理市場をさらに拡充するため、共に力を合わせてお客様が求める様々なアイデンティティ管理におけるニーズに対応し、お客様の課題解決に取り組んでまいります。 従業員向けアイデンティティ管理と顧客アイデンティティ管理ソリューションの2本柱で事業を展開していくため、今後もOktaとAuth0の両プラットフォームへの投資およびサポートを継続して参ります。 引き続き、Auth0はOkta内の製品ユニットとして運営して参ります。なお、今後のカスタマーサ
Next.js App Router で Keycloak と @auth0/nextjs-auth0 を利用してマルチテナント認証機能を実装する - Uzabase for Engineers
初めまして、 @takano-hi です。 2023年2月に AlphaDrive にジョインして、主にフロントエンド領域を中心に設計・実装などの業務を担当しています。 最近、Next.js のプロジェクトを新たに立ち上げる機会があり、せっかくなので App Router を採用しました。 そのプロジェクトの認証機能の実装に当たり、今まで他プロジェクトでも利用していた Keycloak と @auth0/nextjs-auth0 の組み合わせを試したところいくつかの困難に遭遇したので、その解決方法についてまとめようと思います。 環境 next v13.4.9 @auth0/nextjs-auth0 v3.1.0 keycloak v20.0.1 ライブラリの選定背景 私が所属しているチームでは、認証基盤(IDプロバイダー)に Keycloak を利用しています。 Keycloak は Op
こんにちは、IDチームのすかんくです。 今回は「Azure AD Connect」と「オンプレ AD の廃止」について考えてみました。 執筆の背景 日々お客様と会話する中でこんな悩みが多くあるということに気付きました。 「将来的にはオンプレ AD を廃止して、Azure AD(またはその他 IDaaS)に寄せたいと思ってる」 「一方で、現状はオンプレ AD でユーザーやデバイス管理しているので、Azure AD Connect の導入を検討している」 「しかし Azure AD Connect を導入したら、オンプレ AD の廃止に逆行していそうで躊躇している」 オンプレ AD に関連するコンポーネントを追加することで、よりオンプレ AD 依存度が高まるのでは?という疑問は至極当然のものだと思います。 しかしながら Azure AD Connect に関しては寧ろその逆で、周辺機能も含め上
フロントエンドの認可ついて(その1)
概要 どうもukmashiです。今年は年末なのに、年末感がなくて逆にびっくりしますね。 年末で時間を持て余してるので、燻製を作りながら、年末に仕事で練っていたフロントエンドにおける認可について、整理しようと思います。 なお、RBACやPBACなどの認可の種類に対する考え方については基本的に触れません。 本記事は2部作です。 本記事は3部作になりました。 フロントエンドの認可ついて(1)← 本記事 ReactやVueを始めとして、SPA、Next.js、Nuxt.jsに関する認可についてまとめます。 フロントエンドの認可ついて(2) 後半では、FEとBEで認可の処理が二元化してしまうのをどうクリアするかの提案です。 フロントエンドの認可ついて(3) 2での提案を具体的にReactのコードとして落とし込みました 本記事での用語 話を始める前に、用語整理しておきます。 Page ブラウザで描画さ
三菱UFJ銀行は11月1日、ATMや店頭での取引時に使ってきた本人確認技術「手のひら静脈認証」を終了すると改めて告知した。「これまでのご利用状況を鑑み」終了することにしたという。04年の導入から20年弱での終了となる。 終了は23年5月13日午後9時。22年8月1日から店頭での新規申し込み受け付けを終了していた。 手のひら静脈認証は、利用者の静脈パターンをキャッシュカードに記録しておき、ATMなど利用時に、専用のセンサーに手のひらをかざしてもらって静脈パターンを認証することで本人確認する。手のひら静脈は一人一人パターンが異なる上、血流があるかどうか検知して認証するため、なりすましによる利用を防げる。 関連記事 東京三菱銀、手のひら静脈認証キャッシュカードを発行 手のひらをかざして本人認証するキャッシュカードを10月から発行する。偽造カード撲滅の決定打になるか。 手のひら認証で決済、手ぶらで
【解説編】CircleCIからOIDCを用いて安全にGoogle Cloudにアクセスする - KAYAC engineers' blog
SREチーム(新卒)の市川恭佑です。これはカヤックSRE連載の2月号です。 よく見ると投稿日が3月になっていますが、どちらかと言うと2月が28日までしかない方に問題があるので、大丈夫です。(何が?) ということで、2023年も滑り出し好調のカヤックSRE連載ですが、前回の記事ではCircleCIからGoogle CloudにOIDCでアクセスする方法について、 ちゃんと動く(はずの)ソースコードをサクッと紹介いたしました。 techblog.kayac.com さて、Google CloudとCircleCIをお使いの皆様、もうOIDC対応は完了しましたか? 安心してください。私のプロジェクトでも一部未完遂です。(おい) ということで今回は、前回紹介したソースコードを深掘りして解説します。 私と同じように、途中でなんか面倒になって一旦塩漬けにしたら正直忘れかけてる長い道のりの途中にいる皆様
本人認証サービス「xID」が11月4日から12月中旬までサービスを一時停止する。マイナンバーカードに記載されている個人番号などの入力を求めていたが、ユーザーや識者、情報保護委員会から指摘が上がっており、サービスを改修して再開する。 本人認証サービスなどを展開するxID社は11月4日、本人認証サービス「xID」(クロスID)を同日午後8時から12月中旬まで一時停止すると発表した。同サービスについては、新規登録時にマイナンバーカードに記載されている個人番号の入力を求めることに対し、ユーザーや識者から「個人番号の利用を厳密に制限しているマイナンバー法に違反するのでは」などの指摘が上がっていた。 xIDは行政手続きや施設の予約システムの電子申請など、複数の自治体で採用されている本人認証用サービス。個人番号は社会保障、税、災害対策以外での利用が認められていないのにも関わらず、新規登録時に個人番号の入
この記事について 最近(5.4〜6.0)のSpring Securityでは、セキュリティ設定の書き方が大幅に変わりました。その背景と、新しい書き方を紹介します。 非推奨になったものは、将来的には削除される可能性もあるため、なるべく早く新しい書き方に移行することをおすすめします。(既に削除されたものもあります) この記事は、Spring Securityのアーキテクチャの理解(Filter Chain、 AuthenticationManager 、 AccessDecisionManager など)を前提としています。あまり詳しくない方は、まずopengl_8080さんのブログを読むことをおすすめします。 サンプルコード -> https://github.com/MasatoshiTada/spring-security-intro 忙しい人のためのまとめ @Configuration
Electronic Frontier Foundation 年齢認証システムは監視システムである。年齢認証の義務化、それに伴うID認証の義務化は、若者をオンラインで保護するアプローチとしては間違っている。これを制度化すれば、ウェブサイトは訪問者に政府発行の身分証明書等を提出させ、年齢を証明させることが義務づけられることになる。このスキームは、我々の個人データがデフォルトで収集・販売されるインターネットへの道をさらに舗装することになる。政府発行の身分証明書を持たない数千万人の米国人は、インターネットのかなりの部分にアクセスできなくなるかもしれない。さらに、匿名でのインターネットアクセスは不可能になることにもなりうる。 年齢認証の義務化に反対する理由 年齢認証を義務づける法律は、若者だけに影響を及ぼすのではない。特定の年齢層を排除するために、ウェブサイトの訪問者すべての年齢を確認しなくてはな
![なぜウェブサイトに年齢認証を義務づけるべきではないのか | p2ptk[.]org](https://cdn-ak-scissors.b.st-hatena.com/image/square/619cccf830d1cc172c9f0590f4d90935e7dc2b8a/height=288;version=1;width=512/https%3A%2F%2Fp2ptk.org%2Fwp-content%2Fuploads%2F2023%2F03%2FSD20230326_2.jpg)
Microsoftはこのほど、「Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog」において、認証に用いられるトークンの盗難が急増していると伝えた。組織が多要素認証(MFA: Multi-Factor Authentication)の適用範囲を拡大するにつれ、サイバー攻撃者は企業のリソースを侵害できるよう、より洗練された手法に移行してきていると警告している。 Token tactics: How to prevent, detect, and respond to cloud token theft - Microsoft Security Blog サイバー攻撃の手口として、トークン盗難が増加していることがMicrosoft Detection
GoでSMTPを使用したメール二段階認証ページを作ってみた Goでユーザー名/パスワード認証とワンタイムパスワードを使用した二段階認証を作ってみました。イメージをつかむためのテストとして作成したものでそのまま使用できるようなものではありませんが、ご参考になればと思います。 また、駆け出しなのでプログラムのミスや単語の誤用があるかと思いますので、コメントにてご指摘頂けると嬉しいです。 開発環境 OS Microsoft Windows 10 エディタ Visual Studio Code Go SDK go1.20 windows/amd64 SMTPサーバーについて SMTPサーバーは何でもよいのですが、試験的に使うものなのでGmailを利用しました。GmailのSMTPサーバー機能を使用する場合、以前は普段のログインと同じパスワードが使用できたのですが、現在はアプリパスワードを取得する必
米Microsoft(マイクロソフト)は2022年7月中旬、大規模なフィッシング攻撃(フィッシング詐欺)が展開されているとして注意を呼びかけた。対象はMicrosoft 365(旧称Office 365)を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。 この攻撃の特徴は、大規模なことに加えて多要素認証(MFA:Multi-Factor Authentication)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウントなどを乗っ取る。一体、どのようにして破るのだろうか。 複数の認証要素で安全性を高めたはずが 社内のシステムとは異なり、クラウドサービスにはインターネット経由で誰でもアクセスできる。このため正規のユーザーかどうかを確認するユーザー認証がとても重要になる。 そこでメールなどのクラウドサービスを利用する企業の一部は、多
人が使う IAM ロール(信頼されたエンティティが AWS サービスでない IAM ロール)だけを棚卸しする | DevelopersIO
IAM ユーザーだけでなく IAM ロールも棚卸ししたい コンバンハ、千葉(幸)です。 以前、IAM ユーザーを棚卸しする方法をまとめたことがありました。ここでは以下情報を取得することで IAM ユーザーがどのような権限を有しているかを確認しました。 IAM ユーザーが所属する IAM グループの一覧 IAM グループにアタッチされた管理ポリシーの一覧 IAM グループにアタッチされたインラインポリシーの一覧 IAM ユーザーに直接アタッチされた管理ポリシーの一覧 IAM ユーザーに直接アタッチされたインラインポリシーの一覧 ここで、ひとが使う IAM エンティティとして IAM ユーザーでなく IAM ロールがメインの環境もあるでしょう。となると IAM ロールを対象に同じことをしたいです。とは言え、AWS サービスが使用する IAM ロールは別に対象に含みたくないです。 うまいことやる
iOS 15、2段階認証のコード自動生成機能が内蔵されました #WWDC212021.06.08 05:5013,210 塚本直樹 もうグーグルに頼らない。 今回は内容盛りだくさんなWWDC21でしたが、そこでは発表されなかった機能もあります。たとえば、iOS 15に内蔵された2段階認証機能です。 現在インターネットでは安全性を確保するために、パスワード以外の2段階認証の利用が盛んになっています。そしてiOS 15ではこの2段階認証のためのコードを生成する機能が内蔵されたのです。 機能の利用は設定アプリの「パスワード」から利用できます。また、一度設定すれば、サイトにサインインした際には自動で認証コードが入力されます。 これまで2段階認証のコードは「Google Authenticator」のようなサードアプリを利用するのが一般的でしたが、iOS 15ならそのようなアプリをダウンロードしなく
Zanzibar: Google’s Consistent, Global Authorization System
Philosophy We strive to create an environment conducive to many different types of research across many different time scales and levels of risk. Learn more about our Philosophy Learn more
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
「Azure AD」がオンプレミスのActive Directory(AD)より魅力的な3つの理由
関連キーワード Microsoft Azure | Office 365 | Active Directory 前編「『Active Directory』(AD)と『Azure AD』の違い クラウド版だけの機能とは」に続き、MicrosoftのID・アクセス管理システムである「Active Directory」(AD)と、ADのクラウドサービス版である「Azure Active Directory」(Azure AD)の違いを紹介する。今回は特に、Azure ADのメリットが際立つ3つのポイントを紹介しよう。 ポイント1.シングルサインオン(SSO)の実装 併せて読みたいお薦め記事 「Microsoft 365」のセキュリティ対策 「Microsoft 365」で多要素認証(MFA)を利用するMicrosoft推奨の方法とは? 「Microsoft 365」のパスワード同期に潜む“意外な
米マイクロソフトは7月中旬、大規模なフィッシング攻撃が展開されているとして注意を呼びかけた。対象は業務用クラウドソフト「Microsoft 365(旧称Office 365)」を利用する企業や組織。2021年9月以降、1万を超える企業や組織に対して攻撃が行われているという。この攻撃の特徴は、大規模なことに加えて多要素認証(MFA)を破ること。攻撃者は多要素認証を破り、正規ユーザーのメールアカウ
「2段階認証」と「2要素認証」という言葉はしばしば混同して使われるようですが、厳密にはこれらは違う意味です。では何が違うのでしょうか。セキュリティ認識を周囲とそろえるためにも言葉の定義はしっかり学んでおきましょう。 今回は筆者の個人的な“思い違い”を正したいと思います。この連載で何度も取り上げている、パスワード漏えい前提の世界における対策のひとつ「2要素認証」について、過去の回では「2段階認証」という言葉も混在して使っていました。 この2つは厳密には異なるものだということは理解しつつも、多くのサービスでは「2段階認証」という名称を使うことが多いため、分かりやすさを優先して「2段階認証」と記載していたと思います。 こうした経緯もあり、先日筆者は「多くのサービスにおいて2段階認証は2要素認証の要件を満たしているので、あまりこの2つの違いはないのではないか」とSNSに投稿したところ、セキュリティ
Centralize your logic. Keep app data in your database.
ZOZOFIT 認証フローにおけるJVM言語実装のLambda関数のパフォーマンス改善 - ZOZO TECH BLOG
はじめに こんにちは。計測プラットフォーム開発本部バックエンドチームの岡山です。普段はZOZOMATやZOZOGLASSなどの計測技術に関わるシステムの開発、運用に携わっています。去年の夏にZOZOFITというサービスを北米向けにローンチし、そのシステムも同様に開発、運用に携わっています。 本記事では、ZOZOFITの認証フローで実行されるScala実装のAWS Lambda関数が抱えていたパフォーマンス課題と、その課題の解決に至るまでの取り組みについてご紹介します。 目次 はじめに 目次 ZOZOFITとは ZOZOFITが利用する認証サービス カスタム認証フローとは パフォーマンスに関する課題 カスタム認証フローにおけるボトルネックの特定 Lambda関数のボトルネック調査 Lambda関数のメモリ設定最適化 パフォーマンス改善結果 終わりに ZOZOFITとは ZOZOFITは202
Steamの自動アップデート機能が悪用され、開発者のアカウントを通じて悪意あるソフトウェアが混入したゲームが少数のユーザーに配信されていたことがわかりました。再発防止のため、Steamを運営するValveは開発者らにSMS認証を義務づけると発表しています。 Steam :: Steamworks Development :: 近日公開:ビルドおよびSteamworksユーザーの管理におけるセキュリティ強化 https://steamcommunity.com/groups/steamworks/announcements/detail/3749866608167579206 Valve adds new security check after attackers compromise Steam accounts of multiple game devs and update thei
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 サービス統括本部の都筑(@kazuki229_dev)です。 新卒4年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 Yahoo! ID連携とは、Yahoo! JAPANのシングルサインオンやユーザーの属性情報を取得するID連携の仕組みです。 Yahoo! ID連携とは このYahoo! ID連携ではPKCEというOAuth2.0の拡張仕様を実装しました。 https://developer.yahoo.co.jp/changelog/2019-12-12-yconnect.html そこで、PKCEの基本的な話と、実装の際に調査したことをまとめてみました。 PKCEとは
Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog
こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato(@yusukesatoo06)です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセスと、そこで得た学びや気づきを共有できればと思います。 1. OAuthとは 1-1. OAuthの概要 1-2. OAuthのフロー 2. OAuthが必要な背景 2-1. 外部サービス連携 2-2. 他の連携方式との比較 3. OAuthの提供 3-1. 提供方式 3-2. 今回の選定方式 4. OAuthサーバの構築 4-1. Authleteについて 4-2. 必要なエンドポイント 4-3. システム構成 5. 開発を通じて 5-1. 開発を通じた
デジタルペンテストサービス部の小松です。 近年、リモートワークの推進や組織のゼロトラスト化に伴い、Azure Active Directory(以下、Azure AD)を認証基盤として活用する企業が増えています。Azure ADを活用することで、シングルサインオンによるアカウント管理の簡略化や多要素認証によるアカウントの保護が可能となります。 しかし、Azure ADのセキュリティ設定が適切に行われていない場合、有効にした多要素認証を回避されてしまう恐れがあります。実際にラックが提供するペネトレーションテストでは、Azure ADの設定不備に起因する多要素認証回避の問題を検出しています。 組織のAzure AD管理者は、今一度Azure ADのセキュリティ設定をご確認ください。 設定の確認が必要な組織 本記事で取り上げる問題について、該当する可能性がある組織は以下のとおりです。 Micro
この記事は新野淳一氏のブログ「Publickey」に掲載された「LINEがオープンソースで「LINE FIDO2 Server」公開。パスワード不要でログインできる「FIDO2/WebAuthn」を実現」(2021年8月16日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。 LINEは、スマートフォンやPCの指紋認証や顔認証などを用いることでパスワード不要でログイン処理を可能にする標準技術「FIDO2」や「WebAuhn」に対応したサーバ「LINE FIDO2 Server」をオープンソースで公開しました。 これにより、さまざまなWebアプリケーションやモバイルアプリケーションなどでFIDO2/WebAuthnを利用したログインが容易に実装できるようになることが期待されます。 FIDOアライアンス(ファイドアライアンス)が策定している技術「FIDO2」(ファイドツー
はじめに AWSを学習していると、認証と認可という言葉がでてきます。特にIAM(AWS Identity and Access Management)によって権限を管理する際に、この考え方はとても重要になりますが、初心者である私はこれまで認証と認可の違いについて意識してこなかったため、理解するのが難しいと感じました。エンジニアの方に具体例を教えてもらい分かりやすかったので、自分でも身の回りにある認証と認可について考えてみました。 認証と認可とは 認証とは 「あなた誰?」を確認します。 本人確認書類、IDとパスワード、顔認証、指紋などの生体認証などを用いて、あなたが誰であるのかを特定するのが認証です。 認可とは 「何の権限持ってる?」を確認します。 条件を満たすことにより、許可を与えられます。 日常にある認証と認可 日常にも認証と認可はあります。身近な例についていくつか考えてみました。 運転
Googleは、Google Workspaceではない、個人向けGmailなどのGoogleアカウントにおいて、サードパーティーアプリからのユーザー名とパスワードのみを利用してのログイン(基本認証)サポートを5月30日に終了する。 基本認証サポートの終了は数年前から告知されていたもので、基本認証のみを利用するメールクライアントでは、メールの送受信ができなくなる。サードパーティー製メールクライアントなどの多くはOAuthに対応するなどしており、大きな問題はないものと考えられるが、自作アプリでメールを確認している場合などには注意が必要かもしれない。 なお、Google WorkspaceやGoogle Cloud Identityのユーザーについては、5月30日の期限は適用されず、別途報告するとしている。 基本認証のサポート終了はGoogleに限ったことではなく、MicrosoftもExch
Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 (国際版の日本語訳)
Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 (国際版の日本語訳)より速く容易で安全な認証をコンシューマー向けに主要なデバイスやプラットフォームに提供 2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。この新機能により、ウェブサイトやアプリケーションは、コンシューマーに対してデバイスやプラットフォームを問わず一貫して、安全かつ容易なパスワードレス認証を提供できるようになります。 パスワードのみによる認証はウェブにおける最
TechCrunch
To give AI-focused women academics and others their well-deserved — and overdue — time in the spotlight, TechCrunch is launching a series of interviews focusing on remarkable women who’ve contr
「最高にエモい」と好評だったOpenID Summit Tokyoクロージング・キーノート 「No ID, No DX」の録画が一般公開されました
3年前のOpenID Summit Tokyo で「最高にエモい」と好評だった OpenID Summit Tokyo のクロージング・キーノートの録画が公開されました。 本編スタートは 06:18 から。将来と希望ということから話を始め、産業革命の本質と大英帝国成立の背景を説明、そこから得られる第4次産業革命への示唆とサイバー大陸=第八大陸の成立とアップル教皇国、フェイスブック王国、グーグル共和国、WeChat人民共和国など列強(#GAFAM)による #第八大陸分割、#DFFT による経済成長についてのEUの見解、#eID #trustservices #eIDAS の意義、そして戦わない楽な道= #西用 路線をとることによる植民地化と貧困への道と、 #変法 による希望のもてる将来の話をしています。 3年前のスピーチですが、今でも全く古びていないと思います。いやむしろ、 #web3 で分
Cloudflare Workers では KV だったり Durable Objects や R2 などといった外部ストレージへアクセスをして何かしら操作するようなプログラムを動かすことができます。しかし、誰でもその操作ができてしまうとセキュリティ面や使用料の面で問題が発生します。 interface Env { ANYBUCKET: R2Bucket } // 誰でもファイルアップロードできちゃう Worker :pien: export default { async fetch(request: Request, env: Env) { const formdata = await request.formData() const imagedata = formdata.get("imagedata") if (imagedata === null) { throw new Er
ジェーシービーは11月1日から、券面にカード番号が掲載されないナンバーレスのクレジットカードの発行を開始した。JCBの一般カードのほか「JCB CARD W」「JCB CARD W PlusL」などについて、従来の番号記載のカードと選択式で申し込みが可能。 裏面には、会員専用のスマホアプリ「MyJCBアプリ」でしか読み取れない、セキュアなQRコードを掲載した。カード番号を確認するための会員IDやパスワードを忘れた場合でも、QRコードの読み取りと、SMSなどを使ったワンタイムパスワードで本人であることを確認できる。本QRコードは、MyJCBアプリ初回ログイン時の認証や、機種変更時のログイン認証などにも利用できる。 昨今、セキュリティ意識の高まりを受け、スマホアプリ内でカード番号を確認できるようにし、プラスチックカード自体には番号を記載しないナンバーレスカードが増加している。一方で、アプリにロ
情報の海に入り込んだ悪意の象徴として、世界中で懸念が高まる「ディープフェイク」。人工知能(AI)の深層学習(ディープラーニング)と偽物(フェイク)を組み合わせた造語だ。いまや専門的な知識がなくても、スマートフォン一つで「偽物」が作れる時代になった。 2021年6月、人工知能学会で日立製作所のグループが発表した。「ディープフェイク技術で本人になりすませば、顔認証システムが突破される恐れがある」 オンラインで本人確認する手段として、口座開設時などに利用される顔認証システム。突破は本当に可能なのか――。記者は日立製作所横浜研究所で、社会システム研究部員の同席のもと検証した。 パソコンの画面に映る記者の顔が、同僚女性の顔に置き換わった。パソコンには、…
正規のユーザーになりすました不正アクセスが後を絶たない。攻撃者はフィッシング詐欺などでユーザーのIDとパスワードを盗み、それを使ってクラウドサービスや企業ネットワークなどにログインする。 このような不正アクセスを防ぐのに有効な対策の1つが「多要素認証」だ。多要素認証とは、ユーザーの認証時に複数の情報(認証要素)を使う方法である。 例えば、パスワードとスマートフォンの認証アプリを使う方法があり、多くの企業がセキュリティー対策の1つとして導入している。この方法では、パスワード(知識情報)を知っていて、なおかつあらかじめ登録されたスマホ(所持情報)を持っていないとログインできない。パスワードだけの場合と比べてセキュリティーレベルは飛躍的に向上する。 だが万全ではない。上記のような多要素認証を破る手口が数年前から確認されており、現在も使われている。「プロンプト爆撃(prompt bombing)」
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Okta Japan株式会社はAuth0株式会社と統合し、2022年2月7日よりワンチームとなります。
Azure AD Connect導入がオンプレAD廃止の足掛かりになるって、どういうこと?
三菱UFJ、「手のひら静脈認証」終了へ 導入から20年弱
本人認証サービス「xID」がサービス一時停止、マイナンバー入力で指摘受け
Spring Security 5.4〜6.0でセキュリティ設定の書き方が大幅に変わる件 - Qiita
なぜウェブサイトに年齢認証を義務づけるべきではないのか | p2ptk[.]org
多要素認証(MFA)を回避するサイバー攻撃が流行、Microsoftが警告
GoでSMTPを使用したメール二段階認証ページを作ってみた - Qiita
「多要素認証」を破る大規模フィッシング、1万社以上のMicrosoft 365利用企業を襲う
iOS 15、2段階認証のコード自動生成機能が内蔵されました #WWDC21
ドコモ「dアカウント」が「Web認証」「パスキー」に対応、23年2月~
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
【Ubuntu日和】 【第22回】強固なパスワードと二要素認証でUbuntuのセキュリティをさらに高めよう
「多要素認証」破る攻撃 Microsoft 365利用企業襲う - 日本経済新聞
あやふやだった「2段階認証」と「2要素認証」の違いを調べてみた
Oso: Authorization as a Service
Twitterが大量アカウントデータ流出を事実と認める ~約540万人以上に影響か/電話番号やメールアドレスなどが漏洩。2要素認証の有効化を呼び掛け
Steamでゲームのアップデートにマルウェアが仕込まれる事態が発生、対策のためSMS認証を必須にするとSteamが発表
OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました
設定不備により、Azure Active Directoryの多要素認証が回避される恐れ | LAC WATCH
LINE、オープンソースソフト「LINE FIDO2 Server」公開 パスワード不要でログイン可能
【初心者向け】日常にある認証と認可について考えてみた | DevelopersIO
個人向けGoogleアカウントでの基本認証は5月30日にサポート終了
Cloudflare Workers でも Firebase Authentication を使えるぞ!!
JCB、ナンバーレスカードの発行開始 認証に使えるセキュアQRコード活用
DNP、大阪駅「顔認証改札機」の実証実験に顔情報登録のアプリ提供
オシント新時代~荒れる情報の海:口座開設の顔認証を突破 ディープフェイクの脅威 | 毎日新聞
多要素認証を破る「プロンプト爆撃」の罠、ユーザーの寝込みを襲う恐怖の手口
SIE、PSNアカウントの乗っ取りに注意喚起。2段階認証を推奨
