The beginning of the end of the password
報道発表資料 : dアカウントのログインにおける新たな認証手段(Web認証・パスキー)の提供を開始 | お知らせ | NTTドコモ
お客様の設定により、お客様情報が「非表示」となっております。お客様情報を表示するにはdアカウントでログインしてください。 お客様情報表示についてへ お客様情報表示についてへ Tweet dアカウントのログインにおける新たな認証手段(Web認証・パスキー)の提供を開始 -あんしん・安全なパスワードレス認証を、さらに簡単・便利に- <2022年10月17日> 株式会社NTTドコモ(以下、ドコモ)は、dアカウントのログインにおいて、お客さまがあんしん・安全な生体認証などのパスワードレス認証を、さらに簡単・便利にご利用いただけるよう、FIDOアライアンス※1とW3C※2が推進する最新の国際標準技術Web認証※3(Web Authentication)とパスキー※4(Passkeys)による新たな認証手段を、2023年2月(予定)から提供開始いたします。 現在、お客さまがdアカウントのログインにおい
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
Cloud RunとIdentity-Aware ProxyとGitHub ActionsでPull RequestごとのDeployment Previewを実現する - Hatena Developer Blog
マンガ投稿チームでWebアプリケーションエンジニアをしているid:stefafafanです。この記事では、最近私がチーム向けに整備したDeployment Preview環境の事例を紹介します。 Deployment Previewとはどのようなものか? チームとして求める要件 実現したDeployment Previewの全体像 1. DockerイメージをビルドしてArtifact RegistryにpushしてCloud Runで動かすまで GitHub Actionsでどのように実現したか 2. ロードバランサーと証明書の準備、またServerless NEGによる振り分け Certificate Managerでワイルドカード証明書を取得 Serverless NEGを用意してURL MaskでCloud Runのリビジョンタグと対応づける Identity-Aware Prox
Google 認証システムの仕組み
著者:関 勝寿 公開日:2016年3月26日 - 最終更新日:2022年12月31日 キーワード: security Google アカウントの2段階認証プロセスでは、Google 認証システムをモバイル端末にインストールして、QRコード(バーコード)を読み込ませることで、30秒ごとに変化する6桁の確認コードを生成することができる。通常のパスワード認証に加え、確認コードによる認証をすることで、セキュリティを高めている。Amazon, Microsoft, Facebook, Dropbox, GitHub 等多くのサービスで同じシステムが採用されている。この仕組みについて記す。 概要 Google 認証システムで採用されているRFC 6238の時間ベースのワンタイムパスワード (TOTP)は、サーバーとクライアントで共有する秘密鍵と現在時刻から、確認コードを計算するアルゴリズムである。 G
AWS IAM が WebAuthn と Safari ブラウザをサポートし、セキュリティキーによる多要素認証が可能になりました
AWS Identity and Access Management (IAM) は、サポートされているすべてのブラウザ全体で、強力でフィッシングに強い認証のための Web Authentication (WebAuthn) 標準をサポートするようになりました。WebAuthn は、FIDO U2FAPI を継承する FIDO2 仕様の一部であり、パブリックキー暗号化に基づくセキュリティキーを用いた安全な多要素認証が可能です。 この機能は、既存の多要素認証 (MFA) 機能を拡張し、最新のインターネットブラウザや FIDO に準拠した認証機能との互換性を確保するものです。Mozilla、Opera、Firefox、Chrome などの主要ブラウザに加え、Safari ブラウザも認証とセキュリティキーの登録に対応しました。FIDO U2F セキュリティキーなど、すでに FIDO 準拠の認証機
Enhanced 2FA experience for your npm account
ProductEnhanced 2FA experience for your npm accountLate last year, in response to an unprecedented series of account takeovers resulting from the compromise of developer accounts without 2FA enabled, we committed to a variety of enhancements to… Late last year, in response to an unprecedented series of account takeovers resulting from the compromise of developer accounts without 2FA enabled, we co
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
Google OAuth の段階的な認証の改善について
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
Next.js でページを見る権限が無いユーザに対しリダイレクトする処理を集約した - ┗┐<(՞ਊ՞)>┌┛
Next.js でユーザ認証付きアプリケーションを作っていると「ページを表示したとき、ユーザの状態によってはリダイレクトして、別のページに飛ばしたい」というケースがあります。単純にログインしていないというものから、ユーザに閲覧権限がないなど、見れないなどいくつかケースがあると思います。 例えば、一般アカウントと管理者アカウントが存在するウェブサービスを考えてみます。これらはどちらも「User」というモデルとすることにします。そしてその「User」は内部に「一般アカウントか、管理者アカウントか」という情報を持っていて、特定の url のページは管理者でないと見れないとします。ページを表示するとき、この「User」を API で叩いて初めてどちらかがかわかる、という状態です。 例えば管理者ユーザ用の「admin/」 パス以下を考えます。これは管理者ユーザしかアクセスできないパスであるので、この
2020年のWebAuthnアップデート
Digital Identity技術勉強会 #iddance Advent Calendar 2020 12日めの記事です。 年末ということで、気楽に2020年のWebAuthn関連の話題を振り返ってみたいと思います。WebAuthnは2019年に一度W3C勧告になりましたが、その後も色々な実装での採用の拡大や、WebAuthn Level2という新しい改訂版の仕様策定の進展など、2020年も色々動きがありました。それらの中から、興味を惹かれた話題を解説していきます。 SafariでFace ID/Touch IDがPlatform AuthenticatorとしてサポートWebAuthn周りで今年最大の進展というと、やはりSafariのWebAuthn実装がFace ID/Touch IDをPlatform Authenticator(内蔵の認証デバイス)としてサポートしたことが挙げられ
Firebase Authentication の苦労話 - hokaccha memo
Adventarを支える技術 Advent Calendar 2019 の8日目です。 今日は Firebase Authentication で苦労した点や工夫した点について書きます。 ログインの判定が遅い問題 Firebase Authentication を使って、現在のセッションがログインしているかどうかを検出するには、firebase.auth().onAuthStateChanged ()を呼び出します。 https://firebase.google.com/docs/auth/web/manage-users firebase.auth().onAuthStateChanged(function(user) { if (user) { // User is signed in. } else { // No user is signed in. } }); しかし、この処理
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
Firebase Authentication のパフォーマンスを計測してみた - odan blog
概要 Firebase Authentication はユーザー認証に関するサービスです。様々な認証方式をサポートしており、活用することで認証に関する実装を大きくサボることが可能になるものです。 一方で、パフォーマンスには難点があることが知られており、firebase auth 遅い - Twitter 検索 / Twitter を見ると、いくつかの人が遅さについて言及しています。 そこで、パフォーマンスについて測定したので、その結果をまとめます。 環境 実験を行った環境は以下の通りです。ネットワークによる影響を調べるために、2 つのリージョンで実験を行いました。 NodeJS v14.12.0 firebase 7.21.1 firebase-admin 9.2.0 EC2 インスタンス t2.micro リージョン ap-northeast-1/us-east-1 コード odan-s
Online LDAP Test Server
Here are the credentials for an Online LDAP Test Server that you can use for testing your applications that require LDAP-based authentication. Our goal is to eliminate the need for you to download, install and configure an LDAP sever for testing. If all you need is to test connectivity and authentication against a few identities, you have come to the right place. If you find this useful or would
Passport.js
passport.authenticate('facebook');('google');('apple');('microsoft');('twitter');('linkedin');('github');('openid'); Passport is authentication middleware for Node.js. Extremely flexible and modular, Passport can be unobtrusively dropped in to any Express-based web application. A comprehensive set of strategies support authentication using a username and password, Facebook, Twitter, and more.
Session management with service workers | Firebase
Send feedback Session management with service workers Stay organized with collections Save and categorize content based on your preferences. Firebase Auth provides the ability to use service workers to detect and pass Firebase ID tokens for session management. This provides the following benefits: Ability to pass an ID token on every HTTP request from the server without any additional work. Abilit
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
OpenIDやOAuthと、LDAPやSAMLなどのシングル・サインオン(Single Sign On)は似ているようで違う。その違いをちゃんと理解できていないので、勉強モードで調べた情報をまとめてみた。かなり長くなってしまったので、まずはまとめから。 既存のシングル・サインオンは、本人性とシステム間の相互信頼がベース そもそものニーズと、歴史的経緯から以下のような方面に強い。 イントラネットの個人電話帳から、ディレクトリーサービスに進化した ディレクトリーサービスの個人の役割に応じて、アクセス権限が与えられた 社内のディレクトリ、サービス間で認証モジュールを共有することで、シングル・サインオンを実現 イントラネットからインターネットに利用範囲を拡大 OpenIDやOAuthは、ウェブによるウェブのための仕組み 既存の認証システムやシングル・サインオンの延長ではなく、ウェブサイトに特化した
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ソフトウェア2段階認証
常時SSL化に役立つアカマイの機能 - Akamai Japan Blog
