2 要素認証は、セレブのヌード事件のおかげで少なからず注目を浴びることとなった。Apple は、その技術を既に採用しているからだ。とはいえ、彼らは同社のクラウドにおける TFA の必要性に関して、それほど熱心ではなかった。
今回は iCloud が悪評を買っているが、これらの画像のソースは、iCloud だけではなさそうだ。Apple は、このセレブリティ画像のプライバシー騒動で批難される対象として、不当に矛先を向けられたように見える、と Conway は主張している。
Apple 特有の欠点は、コンピュータフォレンジックのフィールドでは、しばらく前から非常に良く知られていた。ElcomSoft のセキュリティ研究者は昨年、クラウドに保管されているドキュメント」を Apple の 2 要素認証が保護しないということを説明している。
アズジェントと英Swivel Secure社の日本総代理店であるSecurity Stringsは、トークンレス二要素認証ソリューション「PINsafe」の販売において代理店契約を締結したと発表した。
日本セーフネットは、米SafeNet社による「2014年度 認証ソリューショングローバル調査(2014 Global Annual Authentication Survey)」の結果を発表した。
Dhanjani が記事にしているように、Tesla は「ユーザーがログインを試せる回数」を制限していない。そのことにより、6 文字のパスワードにブルートフォースを仕掛けることは取るに足らない作業になっていると彼は記している。
RSA の SecurID ハードウェアトークンは、長年にわたって業界標準だった。しかし多様化を続ける市場は、スマートフォンで利用されているソフトウェアエージェントに基づく 2 要素認証や、その他の方法へと向かっている。
NTTソフトウェアは10日、次世代のWebサービス間連携仕様であるOAuth2.0に対応した「TrustBind/Federation Manager Version 1.6」の販売を開始した。
SSTは、WAFサービス「Scutum」において、導入中のサイトに、携帯電話を利用した「二要素認証」を追加できる新機能をβ版として8月1日より提供する。
我々が明示的に許可しない限りは、どのような理由であれ、決して我々以外の誰も我々のデータへアクセスする権利を持たないと保証する措置が取られるよう、我々は要求していかなければならない。
パスワードを知ることができるバックドアを LastPass が持っていないものと仮定しても、米国の法は、政府が LastPass に対して暗号化されたパスワードを引き渡すよう要求することを許すものだ(その際、政府は命令によって影響される人物にすら何かを伝える必要がない)
しかし、セキュリティ企業 Elcomsoft の研究によると、Apple はその認証システムの実装において「中途半端な仕事」をしており「(任意に許可された)2 要素認証をバイパスし、侵入者がユーザーの個人情報にアクセスする道を残した」という。
2 要素認証技術をアカウントに加えたいカスタマーは慎重になる必要があると Doerr は警告する。「あなたがパスワードを知っているものの『第二のセキュリティ証明』へのアクセスを失った場合、カスタマーサポートはあなたのためにそれを更新することができない」。
ふたつの新たなインターネットの脅威が現われました。「Man in the Browser (MITB)」と「Man in the Middle(MITM)」と呼ばれ、ユーザアカウントを盗み、金融詐欺を犯すためにワンタイムパスワード(OTP)のような従来の多要素認証技術を回避する洗練された技術を用います。
Sony PlayStation Network、Gawker、LinkedIn、eHarmony、Last.fm、その他多数を悪いニュースに巻き込んだ、この 2、3年のパスワードとデータベースの侵害は、まさにそういうものだった。
シマンテックは、クラウド型セキュリティサービスの最新版「Symantec Validation & ID Protection 9.2(Symantec VIP 9.2)」を日本ベリサイン経由で提供開始した。
ソリトンシステムズは、企業ネットワークへの不正なPCやスマートフォンなどの接続を防ぐアプライアンスの最新版「NetAttest LAP」V2.0を開発、販売を開始した。
西日本電信電話(NTT西日本)とNTTスマートコネクトは23日、「Bizひかりクラウド」のサービスラインアップ拡充の一環として、セキュアなテレワーク環境でBCP(事業継続計画)をサポートするサービス2種を発表した。5月1日より提供を開始する。
日本ベリサインとF5は、ベリサインのリモートアクセス向け追加認証サービス「Symantec Validation & ID Protectionエンタープライズ ゲートウェイ」とF5のSSL-VPNソリューション「BIG-IP Access Policy Manager(BIG-IP APM)」とのVPN相互接続性を確認した。
経営コンサルタントErnst & Youngのセキュリティ専門家Hugh Callaghanは、詐欺の可能性を低下させるには、銀行は複数のセキュリティ対策を行う必要があると述べている。
日本ベリサインは16日、二要素認証を核にクライアント認証の強度を高める「ベリサイン アイデンティティプロテクション(VIP)」のサービスを再編し、新たに「Symantec Validation & ID Protection」を発表した。12月1日から提供を開始する。
ページ右上「ユーザー登録」から会員登録すれば会員限定記事を閲覧できます。毎週月曜の朝、先週一週間のセキュリティ動向を総括しふりかえるメルマガをお届け。(写真:ScanNetSecurity 名誉編集長 りく)