自分のパスワードやMFA(多要素認証)の管理方法についてまとめた記事です。 パスワード管理とTOTP(Time-based One-time Password)の管理として1Passwordを使い、MFA(多要素認証)の2要素目としてYubiKeyを2枚使っています。 パスワード管理とMFA管理を安全で使いやすくするのはかなり複雑で難しいため、完璧にやるのが難しいです。 そのため、その難しさから二要素認証を設定するべきアカウントも手間などから設定を省いてしまったり、管理方法に一貫性がありませんでした。 この記事では、パスワード管理/MFA管理の戦略を決めることで、どのサイトのどのアカウントのパスワード管理をあまり頭を使わなくてもできるようにするのが目的です。利便性と安全性のバランスを意識はしていますが、この記事のやり方が正解ではないので、各自の目的に合わせて読み替えると良いと思います。 用
2022年8月7日、米国のクラウドコミュニケーションプラットフォームサービスを提供するTwilioは従業員がスミッシングによるアカウント侵害を受け、その後に同社サービスの顧客関連情報へ不正アクセスが発生したことを公表しました。また、Cloudflareも類似の攻撃に受けていたことを公表しました。ここでは関連する情報をまとめます。 米国2社が相次ぎ公表 TwilioとCloudflareは、従業員に対し、何者かがIT管理者からの通知になりすましたSMSを送り、記載されたURLからフィッシングサイトへ誘導される事例が発生したことを報告。 2022年8月7日 Twilio Incident Report: Employee and Customer Account Compromise 2022年8月10日 Cloudflare The mechanics of a sophisticated
> ykman oath accounts add -t arn:aws:iam::${ACCOUNT_ID}:mfa/${MFA_DEVICE_NAME}
パスワードなしでの認証を可能にする「パスキー」技術にはわなが潜んでいる、YubiKeyなどのハードウェア認証デバイスを利用している場合は注意
「パスキー」は各種ウェブサイトにパスワード不要でログインできるようにする仕組みで、AppleやGoogle、Microsoftといった大手テクノロジー企業が利用を推進しています。しかし、使い方を誤るとYubiKeyなどのハードウェア認証デバイスが使い物にならなくなってしまうとして、RustのWebAuthnライブラリを作成しているウィリアム・ブラウンさんが注意を促しています。 Firstyear's blog-a-log https://fy.blackhats.net.au/blog/2023-02-02-how-hype-will-turn-your-security-key-into-junk/ パスキーの認証の仕組みには、クライアント側に鍵を保存しない方法と、クライアント側に鍵を保存する方法の2種類が存在しています。クライアント側に鍵を保存しない場合、あらかじめ認証に利用する鍵を生
金融スタートアップにおける セキュアなAWSの運用 / fin-jaws-11-secure-aws-operation
2020/04/14 Fin-JAWS 第11回 最近の金融AWS事情 ~2020春~ の登壇資料です。
PGP鍵を交換しました。というのも、元々使っていたPGP鍵はYubikey上で生成して使っていたところ、数ヶ月前にYubikeyを紛失するという赤っ恥の行いをやらかしてしまい、とっとと失効させて作り直す必要があったからです。ありがたいことに手元に旧い鍵の失効証明書があったので、失効は終わっています。そのまましばらくPGP自体使っていなかったのでそのままにしていたのですが、最近PGPを使う用事が発生したのでちゃんと作ることにしました。 本当は、旧い鍵の主鍵で新たな鍵の主鍵に署名したり、Key Transition Statementというのを作成して両者の鍵で署名したりして、「正当に鍵が移行しましたよ」ということを表明しなければならないのですが、いかんせん旧い主鍵を使えない形態で旧鍵を運用していたので、これができません。しょうがないので、たとえばhttps://www.3qe.usに公開鍵情
2要素認証によるGitHubアカウントの保護
GitHubの継続的な取り組みとして、GitHubの開発者コミュニティが最新のテクノロジーを活用して、悪意のある攻撃者によるセキュリティ侵害からアカウントを確実に保護できるよう、多額の投資を行ってきました。その一環として、デバイスの検証、不正アクセスを受けたパスワードの使用防止、WebAuthnのサポート、SSH Git操作時のセキュリティキーのサポートなどを実現しました。こうしたセキュリティ機能によって、プラットフォーム上での強力なアカウント認証が可能になっています。そして本日、この分野に関する最新情報を皆さまにお伝えできることを嬉しく思っています。 Git操作に対するパスワードベースの認証を廃止 2020年12月の発表で、2021年8月13日からGit操作の認証時にアカウントパスワードの受け入れを停止すること、およびGitHub.comで認証済みのGit操作を行う場合は必ず、パーソナル
いままでpip実行するたびに、「これどこかのsetup.pyに一行でもid_rsaとかfirefoxのprofileデータをどこかにアップロードするコード混じってたら終わりだよな」と思ってたけど、 https://pytorch.org/blog/compromised-nightly-dependency/ いよいよそういうことが起こってきたので、なんとか対応したほうがいいという気持ちになった。今年中に使用感を悪化しない範囲でどこまでできるかを探りたいと思いますね。 ブラウザを別UIDで実行する firefoxのデータに自由にアクセスできたらMFAとか意味ないんだよなあ… ブラウザのデータを別プロセスから読みたいとか、ブラウザにパイプ繋げたりとかしたい場合はないので、別ユーザにして、isolationすべきという気がする。 firefoxだけ起動できる UID を作って、その UID で
2016年のアメリカ大統領選挙では、民主党候補だったヒラリー・クリントン氏の選挙対策責任者を担当したジョン・ポデスタ氏のメールが流出するなどのサイバー攻撃が起きましたが、2020年のアメリカ大統領選ではこれまでのところ大規模なサイバー攻撃の被害は報告されていません。この理由についてアメリカのニュース専門放送局・CNBCは、「物理的なセキュリティキー」の採用が大きかったのではないかと述べています。 Physical security keys protected 2020 election campaigns against leaks https://www.cnbc.com/2020/12/23/physical-security-keys-protected-2016-election-campaigns-against-leaks.html 2016年、ロシアと関連があると推測される
Ubuntu Weekly Recipe 第620回Ubuntu 20.04 LTSでU2F/FIDOデバイスを使ったSSHの2要素認証を試す Ubuntu 20.04 LTSでは、OpenSSHサーバーのバージョンが8.2にアップデートされました。このバージョンではU2F/FIDOハードウェアデバイスのサポートが追加されており、ハードウェアベースの2要素認証が簡単に行えます。今回は比較的安価に入手できるYubiKeyのSecurity Key by Yubico[1]を使い、SSHログインに2要素認証を導入する方法を紹介します。 U2F/FIDOとは FIDO(ファイド)とはFast IDentity Onlineの略で、「使いやすさ」「プライバシーとセキュリティ」「標準化」の3つを核とした、パスワードにかわる新しい認証規格です。FIDOはGoogleやAmazonといった企業も参
EngineeringSecuritySecurity keys are now supported for SSH Git operationsGitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor ("U2F") and were also one of the first… GitHub has been at the forefront of security key adoption for many years. We were an early adopter of Universal 2nd Factor (“U2F”) and were also one of the first si
Yubikey Bio の生体認証をCTAPで見てみる
はじめに 生体認証に対応した Yubikey Bio の生体情報の管理や認証機能の検証を行いました。 FIDO2 - CTAP 2.1 Yubikey Bio は FIDO2という国際標準のプロトコルで実装されています。 FIDO2の仕様は公開されており、Yubikey Bio は FIDO2 の中の CTAP という仕様に基づいて動作します。 CTAP 2.1バージョンで生体認証が追加されており、その仕様を実装した製品が Yubikey Bio です。 具体的には以下の仕様になります。 Client to Authenticator Protocol (CTAP) Proposed Standard, June 15, 2021 特に生体情報の管理に関わるコマンドは以下の部分です。 6.7. authenticatorBioEnrollment (0x09) 検証方法 Yubikey B
Apple's thinner new iPad Pros feature an M4 chip and "tandem" OLED displays
PGP keyについて パスワードマネージャの暗号化にPGP keyを使うのは運用が微妙だしやめた方がよさそう(Androidでのキーの扱いが難しい)。普通に長めのmasterパスワードを設定して頑張って覚える。 それとは別に、今使ってるPGP keyはmaster keyとしてyubikeyの中に保管してしまって、普段はsubkeyを作ってそれを使った方がよさそう。 運用課題 デスクトップPCからUSB Type-Cのポートが1つ生えてるのでそこに延長ケーブルを挿せばよさそう。YubikeyのUSB Type-Aを買ったが、Type-Aメス-Type-Aオスの延長は規格違反らしいので使えない。Type-Aメス-Type-Cオスなら大丈夫らしい。 具体的にはこれを机の上に起きたい。 外出時の運用については未定。しばらくは外出する用事がないので不要そうだが、今のところキーホルダーで家の鍵と一
κeenです。最近Yubikeyを買ったので色々試しています。今回はそのうちのPGP回です。 Yubikeyについて Yubikeyは米瑞企業のYubico社が販売している認証デバイスです。FIDOやらWebAuthnやらの文脈で耳にした方も多いんじゃないしょうか。Yubikeyは日本ではソフト技研社が販売代理店をしています。 Yubikeyはラインナップがいくつかありますが私が買ったのはYubikey 5 NFCです。 Yubikeyでできることは色々あります。 FIDO U2F FIDO/WebAuthn Challenge and Response OATH-TOTP / OATH-HOTP Yubico OTP PIV OpenPGP 静的パスワード 参考:Yubikey 5をArchLinuxで使う - Qiita このうち今回はOpenPGPサポートの機能を使います。 Open
絶対やり方忘れるので history 新鮮なうちにメモ書きしておきます。 僕は指紋認証もしたかったので YubiKey Bio シリーズにしたので本家サイトで購入した。 www.yubico.com まぁぶっちゃけ NFC のやつのほうが便利なんじゃないかなぁとかも思ってる。そっちは Amazon で買えます Yubico セキュリティキー YubiKey 5C NFC USB-C/FIDO2/WebAuthn/U2F/2段階認証/高耐久性/耐衝撃性/防水 ユビコ(Yubico)Amazon 基本的には Universal 2nd Factor - ArchWiki に丁寧に説明があるのでそれでOK。 Arch じゃなくてもだいたい一緒だと思う(pam-u2f つかう) $ yay -S pam-u2f $ mkdir ~/.config/Yubico $ pamu2fcfg -o pam
This post shows different use cases for a Yubikey. There are also command line examples in a cheatsheet like manner. I’m using a Yubikey 5C on Arch Linux. If you run into issues, try to use a newer version of ykman (part of yubikey-manager package on Arch). Some features depend on the firmware version of the Yubikey. The tooling (like the wording) around the Yubikey is sometimes a bit confusing. I
Yubico、USB-CとLightningコネクタを備えMacやiPhoneで利用可能なセキュリティキー「YubiKey 5Ci」を8月末より発売。
YubicoがUSB-CとLightningコネクタを搭載しMacとiPhoneをサポートしたセキュリティキー「YubiKey 5Ci」を発表しています。詳細は以下から。 スウェーデンのYubico社は現地時間2019年08月08日、現在アメリカのラスベガスで開催されている「Black Hat USA 2019」に同社が開発&販売するU2FやFIDO2/WebAuthn準拠の2段階認証用セキュリティキー「YubiKey」シリーズにUSB-CとLightningポートに対応した「YubiKey 5Ci」を展示、08月末(20日?)にも発売すると発表しています。 YubiKey 5Ci YubiKey 5CiはYubicoが2018年から「The Yubico Lightning Project」として開発を続けていたデバイスで、2019年01月には「YubiKey for Lightning
2段階認証と2要素認証と多要素認証(MFA)の違い
知識情報による認証 パスワード、PIN、秘密の質問などのユーザーだけが知っている知識情報で認証する方法です。パスワードによる認証は比較的かんたんに導入できるが、デメリットもあります。パスワードを何度も試行されるようなブルートフォース攻撃やパスワードを盗み取るフィッシング攻撃などにより、不正に利用されるリスクを抱えています。また、複数のサイトで同じパスワードを使い回すことで被害を拡大するリスクもあります。このようにパスワードのみでの認証ではセキュリティ強度が担保できなくなっています。 所持情報による認証 社員証のようなICカード、物理デバイスのセキュリティキー、スマホなどのユーザーが持っている所持情報で認証する方法です。ICカードによる認証ではカード内の情報を読み取り認証を行う。セキュリティキーによる認証では、複数の認証形式(ワンタイムパスワード、FIDOなど)に対応した認証が可能です。スマ
2021年5月11日、GitHubのセキュリティエンジニアであるケビン・ジョーンズ氏が公式ブログを更新し、SSH接続の認証に物理デバイス「セキュリティキー」が利用できるようになったと発表しました。 Security keys are now supported for SSH Git operations | The GitHub Blog https://github.blog/2021-05-10-security-keys-supported-ssh-git-operations/ Googleの「Titan」やYubicoの「YubiKey」などのセキュリティキーは、外部からのアクセスから保護されている持ち運び可能な物理キーであり、コンピューターとUSBやBluetoothなどで接続して使用する、2段階認証のワンタイムパスワードなどの代替となる手段の1つです。 GitHubはこの度
動機 私はGPGが好きです。GPGキーを1つ持っているだけで、パスワードやファイルの暗号化に、gitのコミット署名、SSHの認証キーとして利用できるからです。 私はYubikeyが好きです。U2Fのセキュリティキーとしても利用できますし、GPGキーの格納デバイスとしても利用できるからです。 YubikeyでGPGキーを管理すると、複数のマシンでGPGキーを保存しておく必要がなくなり、鍵管理が楽になります。 普段はUbuntu Desktopで作業していますが、WSLもこなれてきたのでWindowsで開発もありだなぁっと思えるようになりました。 なのでWSLでYubikeyを使いたい。 ということでやってみた。 前提 YubikeyにはすでにGPGキーの設定がされているものとします。 やり方はこれが一番詳しい drduh/YubiKey-Guide 方法 Windows側での操作 gpg4w
GitHub Branded YubiKey
The YubiKey 5 Series is a hardware based authentication solution that provides superior defense against phishing, eliminates account takeovers, and enables compliance requirements for strong authentication. These Invertocat branded YubiKeys are especially made for GitHub superfans for a limited time only! Purchases through GitHub Shop are subject to Yubico License Agreement and are sold for indivi
BASE株式会社 Product Dev Division 基盤グループ Engineerの田中 (@tenkoma)です。 ある出来事がきっかけで2要素認証にYubiKeyを購入して使ってみたので紹介します。 フィッシングに引っかからない自信を無くした話 1ヶ月半前の土曜夕方に、外出先で以下のツイートを見ました。 GitHub Japanさんからフィッシングらしきメールが来てたのでみなさんもお気を付けください pic.twitter.com/CsmkObwUS9— Eiji Kitamura / えーじ (@agektmr) June 13, 2020 ちょうど数時間前に同じメール文面を見たような気がしたのと、同じく数時間前にPCでGitHub.comにログインしていたので、 「これはマズいかもしれない、引っかかったか?」と焦りました。 その場ではパスワード変更だけしました。急いで帰宅し
社内PKIを支えるYubiKeyのAttestation
はじめに。 はじめまして。技術部のishizukaです。社内でYubiKeyを使って遊ぶ機会に恵まれ、クライアント証明書の発行のフローと遊んでいる最中に気づいた面白いことをまとめていきます。基本CLIベースな記事なので画像がほとんどないです。 概要 CyberDefense社内では、YubiKeyに入れた証明書を利用した個人認証を行っています。これによりパスワードからの脱却を目指しております(多少誇張)。一方で、ICカード等の物理デバイスの運用は、PINの誤入力によるロック、物理的な紛失といった別のリスクが存在します。 これらのリスクに対して社内では証明書のリモート発行を準備することで、誤ってロックアウトされてしまった際でも出社することなく証明書を再発行する運用ができるように準備を整えました。この証明書発行フローを簡略化して説明していきます。 yubikey_farm CDI社内で、Yub
GitHub - FiloSottile/yubikey-agent: yubikey-agent is a seamless ssh-agent for YubiKeys.
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
How Hype Will Turn Your Security Key Into Junk In the last few months there has been a lot of hype about "passkeys" and how they are going to change authentication forever. But that hype will come at a cost. Obsession with passkeys are about to turn your security keys (yubikeys, feitian, nitrokeys, ...) into obsolete and useless junk. It all comes down to one thing - resident keys. What is a Resid
A Yubico FAQ about passkeys
With YubiKey there’s no tradeoff between great security and usability Why YubiKey
Rivian offers (up to) $5,000 discount if you trade in your gas-powered truck
Googleが使うと噂のyubicoの認証システム
strong authenticationswedishYubiKeyYubiKey 5YubiKey BioYubiKey FIPS Series
κeenです。最近YubiKeyを買ったので色々試しています。今回はそのうちのLinuxログイン回です。 YubiKeyについて YubiKeyは米瑞企業のYubico社が販売している認証デバイスです。FIDOやらWebAuthnやらの文脈で耳にした方も多いんじゃないしょうか。YubiKeyは日本ではソフト技研社が販売代理店をしています。 YubiKeyはラインナップがいくつかありますが私が買ったのはYubiKey 5 NFCです。 YubiKeyでできることは色々あります。 FIDO U2F FIDO2 / WebAuthn Challenge and Response OATH-TOTP / OATH-HOTP Yubico OTP PIV OpenPGP 静的パスワード 参考:Yubikey 5をArchLinuxで使う - Qiita このうち今回はFIDO U2F、Challen
TechCrunch
If there’s one overarching takeaway from last night’s Rabbit R1 launch event, it’s this: Hardware can be fun again. After a decade of unquestioned smartphone dominance, there is, once again, exc
SSHの秘密鍵をYubiKeyで管理 Windows編
YubiKeyにSSHの秘密鍵を保存し、SSH接続のときにYubiKeyをPCに挿せば、秘密鍵を複数のPCに保存しておく必要がなくなり安心です。また、YubiKeyから秘密鍵を取り出されるといった心配も無用です。今回は、既存の秘密鍵をYubiKeyに保存し、SSH接続を行う方法をご紹介いたします。
Created May 12, 2020 21:45 - Updated December 16, 2020 20:54 Note: If you haven't set a User PIN or an Admin PIN for OpenPGP, the default values are 123456 and 12345678, respectively. If the User PIN and/or Admin PIN have been changed and are not known, the OpenPGP Applet can be reset by following this article. These instructions will show you how to set up your YubiKey with OpenPGP. Before you be
PGP 主鍵を交換した話 | おるとのページ
PGP 主鍵を交換した話2021/07/03 — Security, GPG — 12 min read 先日 PGP 主鍵を交換しました.運用的にややこしいところがあったのでメモ代わりに書いておきます. 思い出しながら書いているので間違ってたらごめんなさい. 運用・利用スタイル 私は PGP を普段以下のような用途で使っています. Git コミット署名 SSH チャレンジレスポンス認証 (Email の署名・暗号化) (その他メッセージ等の署名・暗号化) 公開鍵は公開鍵サーバや Keybase などで公開しています. 秘密鍵は主鍵・副鍵共にローカル PC 上で作成し,どちらも Yubikey に焼いて普段は Yubikey 上で認証・署名・暗号化・復号等を行っています. 今までの鍵は色々いじくり回していたり管理がずさんだったりしたことや,主鍵の期限が今年 12 月に迫っていることから,主
実はスマホに「アカウント情報」と「2段階認証アプリ」が揃っており、紛失時にスマホだけで侵入されるケースがある。 そこで、スマホを落としたとしてもYubiKey(ユビキー)という「業界No.1セキュリティキー」で解錠する設 […]
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワード管理/MFA管理の戦略
従業員を標的にした認証サービスに対するスミッシングについてまとめてみた - piyolog
YubiKeyでCLI環境でのAWS MFA認証を楽にする
PGP鍵を交換しました + 令和最新版のPGP鍵運用メモ - Lambdaカクテル
Linuxの実行環境のisolationをもうちょっとちゃんとする今年は - w_o’s diary
2020年アメリカ大統領選でメール流出がなかったのは「物理的なセキュリティキー」の採用による可能性
第620回 Ubuntu 20.04 LTSでU2F/FIDOデバイスを使ったSSHの2要素認証を試す | gihyo.jp
Security keys are now supported for SSH Git operations
Engadget | Technology News & Reviews
yubikeyを買ったので色々セットアップのメモ
YubikeyでOpenPGP鍵をセキュアに使う | κeenのHappy Hacκing Blog
1Password のロック解除をYubiKeyでやる - 宇宙行きたい
How to Yubikey: a configuration cheatsheet
SSH接続でGitHubにアクセスする際にセキュリティキーによる認証が利用可能に
WSL2でYubikeyを用いたGPG, SSHをできるようにする。 - Qiita
GitHubログインなどの2要素認証にYubiKeyを使ってみた - BASEプロダクトチームブログ
Yubico、USB-Cコネクタを備えNFC対応のセキュリティキー「YubiKey 5C NFC」を発表、iOS 13を搭載したiPhone 7以降では「YubiKey NFC」シリーズもサポート。
How Hype Will Turn Your Security Key Into Junk
Engadget | Technology News & Reviews
YubiKeyをLinuxの「鍵」にする | κeenのHappy Hacκing Blog
Using Your YubiKey with OpenPGP
【SSS】YubiKeyとは?使い方と対応サービスもよろしく!