Hello,World! gonowayです。 弊社がご支援するお客様とお話するなかで、多要素認証のためにIDaaSが提供しているアプリケーション(以降、認証アプリ)を私物モバイル端末にいれていいのか?という疑問に、わたしたちが普段お客様にご案内していることをざっくりまとめてみました。 3行まとめ 現代では外部の不正ログインから守るために多要素認証が必須になってきている。 多要素認証の実現のため、会社モバイル端末であれ私物モバイル端末であれ認証アプリはインストールしてほしい。 私物モバイル端末にインストールしてもらう場合、エンドユーザーへの説明を行うことが必要。また、ガラケーしか持っていないような例外措置への対処を考えることも必要。 前提 認証要素について 認証要素は下記の3種類です。NIST SP800-63を参考にしています。 記憶によるもの:記憶(Something you know
ログイン情報の複数デバイス間同期に対応した「Google Authenticator(Google認証システム)」のクラウドバックアップにおいて、エンドツーエンド(E2E)暗号化が行われていないことがセキュリティ研究者の調べで明らかになりました。Googleはこの懸念を受けて、Google Authenticatorの将来的なE2E対応を表明しています。 Google has just updated its 2FA Authenticator app and added a much-needed feature: the ability to sync secrets across devices. TL;DR: Don't turn it on. The new update allows users to sign in with their Google Account and
by NASA Kennedy 2023年2月15日、Twitterがショートメッセージサービス(SMS)を使った2要素認証設定を同年3月20日以降に有料化する方針を明らかにしました。これまで無料で使えていたものが有料になるということで一部ユーザーに混乱をもたらしましたが、有料化となる理由の1つに「悪質なボットの台頭」があることをTwitterのCEOであるイーロン・マスク氏が伝えました。 Elon Musk Says Twitter Lost $60mn a Year Because 390 Telcos Used Bot Accounts to Pump A2P SMS | Commsrisk https://commsrisk.com/elon-musk-says-twitter-lost-60mn-a-year-because-390-telcos-used-bot-account
SMS認証の仕組みと危険性、「TOTP」とは? 「所有物認証」のハナシ:今さら聞けない「認証」のハナシ(3/3 ページ) 「ソフトウェアトークン」と「ハードウェアトークン」 都市銀行のインターネットバンキングでよく利用されているワンタイムパスワードが「ソフトウェアトークン」と「ハードウェアトークン」です。いずれもスマホアプリや機器上に、一定の時間経過(大抵は30秒ごと)で変化していく、その時しか使えないワンタイムパスワード(数列)が表示され、それを入力することで認証する仕組みです。 ワンタイムパスワードを表示する媒体がスマホアプリだと「ソフトウェアトークン」、専用のカード型・キーホルダー型・電卓型の機器だと「ハードウェアトークン」と呼びます。 三菱UFJ銀行「ワンタイムパスワード」 三井住友銀行「パスワードカードについて」 みずほ銀行「ワンタイムパスワード」 りそな銀行「ワンタイムパスワー
これらのオプションについて詳しく調べるには、 WebAuthnの公式仕様をご覧ください。 サーバーから返ってくるオプションの例を下記に示します。 { "rp": { "name": "WebAuthn Codelab", "id": "webauthn-codelab.glitch.me" }, "user": { "displayName": "User Name", "id": "...", "name": "test" }, "challenge": "...", "pubKeyCredParams": [ { "type": "public-key", "alg": -7 }, { "type": "public-key", "alg": -257 } ], "timeout": 1800000, "attestation": "none", "excludeCredentials
訪日外国人向けのJRパスも、この2年の間に、それぞれのきっぷと予約状況が紐付けられたから、議員さんのパスでもできるはずですよ、って話
インターネット上の会員制サイトなどにおける個人認証では、パスワードを用いる方法が一般的だ。しかし、最近ではパスワードによる認証だけでは安全性の担保が難しくなりつつある。そこで、新しい認証方式として広がってきているのが二要素認証や二段階認証と呼ばれる認証だ。この記事では、二要素認証、二段階認証の認証方法それぞれの概要や違い、そして認証強度を上げるためのヒントまで解説する。 認証のための3要素 大手金融機関が提供する金融サービスで不正に金銭が引き出されるなど、攻撃者が不正ログインを行うリスクがかつてなく高まっている。その際に原因の一つと言われているのが認証の脆弱さだ。認証において多用される、パスワードの安全性の根拠は、文字列の組み合わせが多数あるという点だ。例えば、英数字4桁(英字の大小区別なし)のパスワードだと、以下のように約168万通りの組み合わせから一つ選択するものとなる。 約168万通
RADIUS は、認証要求を承認してそれらの要求を処理する標準のプロトコルです。 Azure Multi-Factor Authentication Server は RADIUS サーバーとして機能します。 これを RADIUS クライアント (VPN アプライアンス) と認証対象の間に置くことで 2 段階認証が追加されます。 この場合、認証ターゲットは、Active Directory や LDAP ディレクトリ、別の RADIUS サーバーなどになります。 Azure 多要素認証が機能するには、Azure MFA Server を、クライアント サーバーおよび認証ターゲットの両方と通信できるように構成する必要があります。 Azure MFA Server は RADIUS クライアントから要求を受け取り、認証ターゲットに対して資格情報を検証し、Azure 多要素認証を追加して、RAD
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く