タイトルそのままである。 たぶんGoogle様あたりが始めたのだと思うけど、何かの認証の際にスマートフォンをトークンキーとして使う仕組みはとても便利である。 二要素認証、つまりパスワード/パスフレーズに加えトークンキーも必須にすることで、セキュリティは段違いに向上する。 しかし、ちょっと前までトークンキーと言えばRSAのハードウェアで、手軽に使えるとは言えない代物だった。 それがスマートフォンで出来るんだから問答無用で便利なんである。 そんなgoogleの2段階認証を、自分のサーバのログインにも使えると聞いて驚愕して試して感動したので下記に顛末を記す。 なお、FreeBSDで試しているが、Linuxでも大丈夫。Mintでの結果を末尾に追記。 事前準備(スマートフォン側) Android、あるいはiOSにgoogle authenticatorをインストールし、2段階認証プロセスの準備をして
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
1.OpenSSLのコンフィグファイル opensslコマンドがデフォルトで参照するコンフィグファイルを編集します。 このコンフィグファイルは実はあってもなくても関係ないのですが、あるのとないのとでは、使い勝手が大きく変わります。 コンフィグファイルが適当だと、オプションをコマンドラインにのせる必要があるため、必然的にコマンドが長くなります。 コンフィグファイルを書いておくと、デフォルト値が決まるので、コマンドラインが短くなります。 このコンテンツはコンフィグをがんばって書いたおかげでコマンドラインが短くなっていますのでご注意ください。 そのコンフィグファイルですが、おおざっぱに分類するとCA業務を行うときに参照する部分と、発行要求(CSR)を作成するときに参照する部分に分かれるようです。 CA業務を行う部分の設定はCAの設定が完了してからでも間に合います。 最初はピンとこな
Microsoft 社の Internet Explorer に、悪意のある細工がされたコンテンツを開くことで任意のコードが実行される脆弱性が存在します。 この脆弱性が悪用された場合、アプリケーションプログラムが異常終了したり、攻撃者によってパソコンを制御され、様々な被害が発生する可能性があります。 Microsoft 社は「脆弱性を悪用しようとする限定的な標的型攻撃を確認しています。」と公表しており、今後被害が拡大する可能性があるため、至急、修正プログラム(MS14-021)を適用して下さい。 Microsoft 社は、5 月 2 日より、Windows Update で本脆弱性に対する修正プログラムの配信を開始しました。 以下の Microsoft 製品が対象です。 Internet Explorer 6 Internet Explorer 7 Internet Explorer 8
Fort Wayne Sign Company View Gallery Do you want to build complete brand visibility? With effective commercial signs by local Fort Wayne sign company, Indiana Signage, you can accomplish your brand goals! Your premier sign and graphic manufacturers, our staff manages each and every component of the sign and graphic project locally in our custom signage shop. With eco-conscious methods, suitable ra
SAN FRANCISCO — The federal agency charged with recommending cybersecurity standards said Tuesday that it would reopen the public vetting process for an encryption standard, after reports that the National Security Agency had written the standard and could break it. “We want to assure the I.T. cybersecurity community that the transparent, public process used to rigorously vet our standards is stil
SAN FRANCISCO (Reuters) - As a key part of a campaign to embed encryption software that it could crack into widely used computer products, the U.S. National Security Agency arranged a secret $10 million contract with RSA, one of the most influential firms in the computer security industry, Reuters has learned. Documents leaked by former NSA contractor Edward Snowden show that the NSA created and p
関連トピックスヤフードラッグストア「ウエルシア」の店頭では、Tポイントが使えることを示すのぼりがはためいていた=東京都内Tポイントの仕組み 4千万人以上が利用する日本最大の共通ポイントサービス「Tポイント」が、ドラッグストアで会員が買った医薬品の商品名をデータとして取得し、会員に十分な説明をしないまま販促活動などに使っていることがわかった。医薬品の購買履歴には、本人が他人に明らかにしたくない情報が含まれることが多い。日本薬剤師会などは「育毛剤を買った人にかつらの広告を送ったり、関節の痛みを和らげる薬を買った人に健康食品を勧めたりしないか」と懸念。厚生労働省も問題視している。 Tポイントは、住所氏名などの個人情報を登録して会員になり、無料で発行されるTカードにためる仕組み。提携店でカードを出すと、支払額の0.5〜1%程度がポイントになり、次からの支払いで1ポイントを1円として使える。
最近の報道を見てて思うんだけど。 自分の不利益になるかもしれない話を持ちかけてくる人がいた場合、「過去にその人はどんな動きをしたか?」ってのは受け入れする・しないの判断の重要な要素。特に、過去に事故やトラブルがあったときに、その人がどんな対応をしたのかってのは、被害にあった方は覚えてるんだよね。 過去に事故の解決過程で不快な思いをした人は「また事故が起きたら同じように不快な対応をされるんじゃないか?」って思ってるわけで。そちらを解消しない限りは経済性や安全性をいくら説かれても受け入れられないだろう。事故そのものの問題じゃなくて、事故対応の問題。逆に、大きな被害を受けても誠意ある対応がなされた実績があれば、このへんは大きな問題にはなりにくい。 特に、対応する側が組織である場合は、組織体質なんてそうそう変わるものじゃないから、「また事故が起きたら前回と同じ対応をされるであろう」という判断は正し
イスラエルの検査装備業者O社(サムスン・LG協力業者)に勤めるアン課長は昨年11月、忠清南道牙山市湯井面(チュンチョンナムド・アサンシ・タンジョンミョン)のサムスンモバイルディスプレーの工場で国家核心技術に指定された次世代ディスプレーAMOLEDの技術を持ち出した。アン課長は検査装備管理者として特別な困難もなく技術に接近することができた。 自社が納品した光学検査装備でディスプレーの不良を点検するふりをして検査装備に内蔵されたカメラで回路の写真15枚を撮った。続けて検査装備裏側のマウス用USBポートにUSBメモリーをさしてAMOLEDの核心技術が入った写真を保存した。彼は流出した写真をパズルのように組み合わせ完全な実物回路図を復元しこれを本社に報告した。 彼が流出した情報はサムスンが世界で初めて開発中だった55インチテレビ用AMOLED技術だった。 極秘資料を取り扱うサムスンのセキュリティも
SAN FRANCISCO — Google’s harvesting of e-mails, passwords and other sensitive personal information from unsuspecting households in the United States and around the world was neither a mistake nor the work of a rogue engineer, as the company long maintained, but a program that supervisors knew about, according to new details from the full text of a regulatory report. The report, prepared by the Fed
神田 大介 @kanda_daisuke おはようございます。本日の朝日新聞東京・名古屋・デジタル朝刊に記事が掲載されました/東京メトロ駅員、パスモでストーカー 乗車履歴を投稿 http://t.co/lSyxrDTw 神田 大介 @kanda_daisuke これは難しい問題ですね。 RT @pixyru: 神田さんの記事だったんですね。解決策はないんでしょうかね。パスモと社員証や学生証が一体となるサービスとかが増えているに従いどのようなシステムになっているか明らかにならないと不安ですね。あと見出しのサイズがちょっと大きい… 神田 大介 @kanda_daisuke 個人情報を大量に扱う事業者っていっぱいあるわけです。扱わない方を挙げるのが難しいくらい。東京メトロの問題は、社員なら誰でもひとの乗車履歴を閲覧できたという、個人情報の管理に対する意識の低さですよね。 RT @pixyru
流出した情報は1000万件を超すとの情報もある。犯罪組織はナレッジベース認証の質問に正しく答えることにより、システムに侵入したとされる。 クレジットカード決済処理大手の米Global Paymentsは3月30日、決済処理システムの一部が不正アクセスされ、カード情報が流出した可能性があると発表した。カード大手のVisaやMasterCardも同日、この事実を公表し、利用者に注意を呼び掛けている。 Global Paymentsによると、3月上旬になってカード情報が流出した可能性があることに気づき、外部の専門家や捜査当局に通報して調査に乗り出した。セキュリティ情報ブログのKrebs on Securityでは、不正アクセスは2012年1月から2月の間に発生し、盗まれた情報を使って偽のカードが発行された可能性もあると伝えている。流出した情報は1000万件を超すとの情報もあるという。 Visaと
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
