「認証」を含む日記

■追加認証

ひろみちゅの質問

Permalink | 記事への反応(0) | 20:00

ツイートシェア

■年配の人間にネットのセキュリティの重要性を伝える方法を教えて欲しい

おそらく同世代の多数と同じように身内年配のパソコンスマホの介助をやってるわけだが、ネットサービスのアカウントのID・パスワードを共通にして推測されやすい物をメモ帳に書いていて頭を抱えている。

流石に危なっかしくてやんわり口を出すのだが、具体的にどういうリスクがあるかうまく伝えられず、その時はその時だろ的に聞き流されてしまう。

俺が昔アカウントを勝手に使われた被害の実例を言ってもそういうこともあるよねーと梨の礫である。

iOSのキーチェーンなどのパス管理の使い方を何度教えてもすぐ忘れてしまうので流石に心が折れている。

はやくパスがいらない認証が簡単で普通になってくれねーかなー。

Permalink | 記事への反応(1) | 17:01

ツイートシェア

■anond:20230601232355

法案 衆議院可決→参議院60日→両院議会任意→衆議院3分の2

予算条約 衆議院可決→参議院20日→両院議会必要→衆議院が決める

内閣総理大臣 衆議院可決→参議院10日→両院議会必要→衆議院が決める

国会定足数3分の1 地方議会半数以上 株主総会過半数

評決数原則出席の過半数

以下は3分の2

①議員資格の争訟②秘密会③議員除名④法律案の再議決

憲法は出席ではなく議席の3分の2

5分の1で議事録残す

4分の1で臨時会

内閣総理大臣の指名は国会 任命は天皇

国務大臣の任命は内閣総理大臣 認証は天皇

最高裁判所長官の指名内閣 任命は天皇

最高裁判所裁判官任命は内閣 認証は天皇

下級裁判所指名は最高裁判所 任命は内閣 指名は高等裁判所長官だけ天皇

外国人技能実習機構OTIT

特定技能ビザ 目的人手不足 入管法の管轄

1号家族帯同おk

2号永住家族帯同不可

技能実習ビザ 目的国際貢献 技能実習法の管轄 永住家族帯同不可

Permalink | 記事への反応(1) | 22:13

ツイートシェア

■

顔認証が導入されることになって絶望してるんだけど、これって退職理由になる？

Permalink | 記事への反応(0) | 21:51

ツイートシェア

■anond:20230531125117

マイナポータルはさ

言ってみればソーシャルログインなんだよな

ソシャゲとかにlineアカウントでログインできますよって奴

そう考えてみれば

同じ端末で他人のIDに変えるって行為について、もう少し違う観点が持てるだろ？

マイナポータルと年金ねっとを関連付けるとか

マイナポータルと決済サービスを関連付けるとか

それはさ、それぞれのサービスにソーシャルログインしてる訳

マイナポータルで求められる認証には２つあるようだ。

１：マイナポータルにログインする

２：カードに保険証や口座を紐づける

２つあるようだ（ｷﾘｯ

とかならんのよ

ソシャゲにソーシャルログインする時どうなるかって言うと

ソシャゲ側でアカウントを作って

そのアカウントにソーシャルログイン垢だよって情報を記録して

ログイン時には登録したSNSのログインシステムを使うんだよ

２回の認証なんて発生しないのな

別のアカウントに切り替えるって時に、そのままシームレスに他人になるとかアリエナイだろ？

結構面倒くさいよな？

問題はこれを「そんなこと知らない」人に提供しなきゃならんことで

だからヒューマンエラーが多発してる

もし、Ａでログインしていながら、Ｂの情報が確認できるなら

【ＵＩをかいぜんしよー】

とかそんなレベルの話じゃないんだよ

嘘松くん

Permalink | 記事への反応(0) | 09:47

ツイートシェア

■anond:20230531125117

そういう話じゃない

マイナポータルはシングルサインオン環境の提供で

「普通は」

そこでログインしたら、マイナンバーについての情報はそこから取得する「べき」なんだ

（そうでなければマイナポータルとして集約した意味がない）

だから、ポータル経由でAさんとしてログインしたのに

個別のローカルシステム内でログオフを経由せず

そのままBさんのマイナンバーに関する情報を扱える（入力できる）としたら

それは設計が狂ってる

シングルサインオンを理解してない

それがキャッシュ経由かなにかで行えてしまってるとしたら、画面だけ直せばいいとかいう問題じゃない

重大なセキュリティ違反が起こってる

ポータル使ってAさんでログインした後、Bさんになることは、「あっちゃいけない」

BさんはBさんでログインして、リソースを参照する認証を得なきゃいけない

お前SEじゃないだろ？

Permalink | 記事への反応(1) | 07:39

ツイートシェア

■anond:20230531125117

前提として、これはどの画面? 「マイナンバーポータル」とあるから、エンドユーザーが使うマイナンバーポータルだよね(文脈的に、行政機関の窓口で職員が使う画面にも読み取れる)。

https://myna.go.jp

• Bさんのマイナンバーカードの作業をする

Aさんがログインしたあとに、具体的にはどういう作業をしている? 何かの作業のたびに、マイナンバーのパスワードの入力が必要だったりしない(自分はスマホで認証している)?

• 【作業内容が一切確認できない】画面設計

確かにこれは問題。

• 手続きの最後に情報を並べて、これでいいですか？と確認させるのが最も効果的だ。

「マイナンバーポータル」の登録時や紐づけ時に確認画面とか無かったっけ。

• ＵＩ改善で問題のほとんどは消えるはず

これは行政機関の窓口で職員が使う画面のUIのこと?

• ログイン状態を保持したままになることが多かった

ローカルストレージとか使っていたりするのか。

Permalink | 記事への反応(0) | 01:31

ツイートシェア

■一般SEから見たマイナポイント周辺の誤動作

マイナンバーカードの仕組みや存在意義そのものの問題点とは別で。

マイナポイントの誤給付とか保険証との紐づけミスが表面化してきたことについて、少し調べて気が付いたこと。

◆サイト内で認証が２種類ある問題

マイナポータルで求められる認証には２つあるようだ。

１：マイナポータルにログインする

２：カードに保険証や口座を紐づける

【検証」

「自分のマイナカードでログインする」⇒「そのまま協力者（別人）のカードで保険証の登録状況を確認する」

協力者の紐づけ状況が確認できた後、マイナポータルのログイン情報を確認すると私のものだった。

つまり、2つの認証はシステム的に別物で、それも複数並列で存在してる。

人生の中で1回だけ不慣れな画面を触ってみるというレベルでは意識すらしないと思う。

書き方を変えると

Aさんのカードでマイナポータルにログインする⇒「今からAさんの情報を使って作業をしますよ」　

Bさんのマイナンバーカードの作業をする⇒「【Aさんの情報のまま】Bさんについて作業をしますよ」

という事態が発生しているということになる。

◆根本原因

この問題最大のポイントはそんな認証状況ではなく【作業内容が一切確認できない】画面設計だと感じている。

・作業中の現場の端末に、「現在ログインしている人物の名前」が一切出ない。

・カードの認証時に「このカードはＸさんのものです」という情報が単発で出る。

この2点が「さっきからこのカードで認証している」という認識だけで、システムの把握しているパラメーターを「推測」しつつ作業を進めさせる。

また、ブラウザを落とすとログアウト状態になるが、ブックマークや履歴から戻ると、ログイン状態を保持したままになることが多かった。

何度か試すとキャッシュを拾ってログイン維持中にログアウト状態を示す画面になることもあった。

これだとなおさら、気が付くのは不可能になるし、一生に1回しか見ない画面で異変に気が付ける人間は少ない。

◆ＵＩ改善で問題のほとんどは消えるはず

結局、職員だろうが一般ユーザーだろうが、何をしているか最終確認さえできれば問題は起こらなかった。

だから、手続きの最後に情報を並べて、これでいいですか？と確認させるのが最も効果的だ。

冷徹な言い方をすると、

個別の紐づけ作業を行う画面で個別の情報が表示されていないという、なんとも間抜けなUI設計と

ユーザー視点の伴わない実用検証で見落とされた思い込みの罠

そして理解できないから丸投げGoサインのハンコを押した省庁の引き起こした

「官製トラブル」の典型例ができてしまったわけだ。

が、内容が単純なだけに改善もしやすい。

今回はWeb画面の構成変更が、明確な一つの解決策。

今回のこれ以外でも、母体だけ大きな企業が日本に大迷惑をまき散らした例は少なくない。

政治力と入札のノウハウに突出した企業だけではなく、きちんと現場が見られる中小零細企業が活躍できる機会が創作できれば、とくにシステム界隈に関して日本は大きく飛躍すると思いたい。

あ、下請けで増えても意味ないですよ。

Permalink | 記事への反応(6) | 12:51

ツイートシェア

■他人のTカードを乗っ取れる脆弱性が隠蔽されている話

3行でまとめると

• モバイルTカードアプリには「Tカードを探す」から、公知な情報をもとにアカウントを復元できる機能がある
• 記入した電話番号から発信者番号通知しつつ「着信認証」という株式会社オスティアリーズのSaaS (曰く3億人以上に使われているらしい)に電話をかけることで認証される
• ところが、「着信認証」には発信者認証を迂回できる脆弱性があり、株式会社オスティアリーズは認識していながら顧客企業(CCC含む)に隠蔽していた。

CCC以外にも使われている株式会社オスティアリーズの「着信認証」が脆弱性を以前から認識していながら隠しているのが悪いと思うが、CCCからは一切回答をいただけなかったため、このタイトルにした

証拠動画

080-1234-5677というありえない電話番号をもつアカウントを同様の手法で用意して、それをのっとるデモ動画

https://streamable.com/z99sw0 (動画は48時間で見えなくなるので注意)

想定問答

• IPAには連絡しなかったの？

→ IPAに連絡しても「自分の別アカウントを『乗っ取る』PoCをすること自体が法的リスクが〜」と以前言われて報告を受理してもらえなかったので、使えないと判断した

• 幇助にならないの？

→ 具体的な方法は記載していないのでならない

• 動画編集でもしてるんじゃないの?

→ そうかもね

• こんな日記書いてなにがしたいの?

→ 特定の(どこの馬の骨とも知らない、見た目だけそれっぽい)SaaSにセキュリティのすべてを依存しないことの啓蒙

Permalink | 記事への反応(3) | 14:24

ツイートシェア

■anond:20230529120235

人体を認証に使うとコピーされたら取り換え不可能なのでダメ

Permalink | 記事への反応(0) | 12:03

ツイートシェア

■anond:20230527231931

白目にバーコード

認証の際にはカメラの前で白目剥く

そこまでするなら素直に虹彩認証にすればいいんだがｗ

Permalink | 記事への反応(0) | 23:24

ツイートシェア

■anond:20230527231328

ジパングで、中国直轄領になった北日本の市民が体に埋められたICチップで認証や決済をしてた場面のことかな

Permalink | 記事への反応(1) | 23:20

ツイートシェア

■マイナンバーカード、暗唱番号は止めて指紋認証にすれば？

どういう論理で導出されたか理解できないんだが現にマイナンバーカード忌避者＝脱税者みたいな言論がまかりとおってしまうのが日本人の気質なのだから、この際、利便性向上のために指紋を取られたってどうってことなかろうもん

いっそDNAを登録して、認証の際にはナイフで指先を刺して血判を押す仕組みならなお良し

Permalink | 記事への反応(1) | 22:56

ツイートシェア

■anond:20230526210551

定款を定める時に自分の財産を提供する、会社が成立した時に財産の引受をする、設立費用。これを公証役場で認証してもらうと変態が成立する。

定款手続きの手数料、市場価額がある有価証券、弁護士、会計士、税理士に確認済のものは認証の必要はありません。

Permalink | 記事への反応(0) | 19:15

ツイートシェア

■anond:20230526043327

マッチングアプリに本人認証がいらなかった時代　僕は中学生だったんだけど

ネカマやって男手玉に取ってから突然ブロックする遊びを暇つぶしにやってた

画面の向こう側でワンチャン期待してる男が突然裏切られたらどんな顔するのか愉しみで仕方なかった

高校生になってから自分の周りの事の方が重要になって知りもしない人間の相手に時間を割くのはやめた

３０近くになった「これ」のやってる事は中学生の僕と大してかわらん

Permalink | 記事への反応(0) | 19:01

ツイートシェア

■anond:20230525141917

キリスト教国だと、役所に届け出る市民婚の他に、教会が婚姻を認証するカノン法婚があって、後者は国家が関与しないけど法適用上は婚姻として扱われたりする。

Permalink | 記事への反応(0) | 09:09

ツイートシェア

■anond:20230525112659

バズツイにリプライする認証マーク付きアカウント

Permalink | 記事への反応(0) | 11:55

ツイートシェア

■anond:20230524043735

今回の場合は、巧みにブルームバーグ関連アカウント装ってたのがね。ツイッターが金で擬似認証バッジ付けれるようにしたばっかりにな。

騙されて報道した報道機関あったんかな。

Permalink | 記事への反応(0) | 05:26

ツイートシェア

■

会社のPCが顔認証と指紋認証しないと起動しないんだけど

カメラに顔を近づけながらキーボード横の指紋認証を人差し指でグリグリしてると

なんかキスしながら手マンしてるみたいで興奮する

Permalink | 記事への反応(1) | 09:01

ツイートシェア

■anond:20230522205224

確かにルールだと言うのは分かるけど、

早く買いたいときに限って、おじいちゃんに認証ボタン押してください→どれ？これ？→そうです→なかなか認証しない→店員が押す

見たいな流れをされると早くして！って言いたくなります。

Permalink | 記事への反応(0) | 20:57

ツイートシェア

■限界デジタルコンテンツオタクの叫び

同居家族ありでグッズや円盤を家に置けない限界オタク。

PCの中だけは自由にできるので、音源とか映像でデータ購入できるものは全て買ってる。

そういうオタク結構いると思うんだけど、もうぜんぶデータを販売してくれないかな、ってすごく思ってる。

特に映像。アマプラとかで購入できるのはごく一部。レンタルしかないのはやむなく見たいときに都度レンタルしてる。

意味分かんないのが、ブルーレイって「個人消費のためでも」円盤からリッピングすること自体が違法化されてんのよ。

こちとらオタクの矜持として、払えるもんは払うし違法行為には一切手を出さないポリシーでやってる。

音楽はCDからリッピングとかコピーするのは（個人消費に限り）レンタルだろうと友人から借りたのだろうと合法なので

リッピング後に円盤を手放すことでなんとか対応してきた。

ちなみに正当に対価を払いたい欲があるので、できるだけ新品購入してるよ。すぐ手放しちゃうの悲しいけどな。

ブルーレイだとリッピングそれ自体が違法だからこの方法が使えない。

もう本当に価格とかどうでもいいから（円盤と同等かむしろ高くてもいい）データで売ってくれよ。

データで売ってくれたら絶対に配布したりできないようにセキュリティかけたっていい。

再生のたびにマイナンバー認証が必要、とかでも俺は買うよ。

CDとブルーレイでルール違うのおかしいだろ、って騒ぐと、じゃあどっちも違法に揃えるかってなりそう。クソだわ。

いちばんクソなのは違法アップロードしたりそれを見たりしてる奴らなのは知ってる。

個人消費のリッピングまでガチガチに法でガードする前に、そいつらを厳しく取り締まれよ。

YouTubeを小一時間くらい漁れば死ぬほど検挙案件あるぞ。

国家権力はそっちを頑張って善良オタクの楽しみを守ってくれよ。

DVD？あんなクソ画質規格は知らん。早く滅びてくれ。

Permalink | 記事への反応(1) | 11:03

ツイートシェア

■クレカの登録内容変更

マジで面倒

SMS認証要求されるんだけど電話番号変わってんだわ

Permalink | 記事への反応(0) | 23:24

ツイートシェア

■新しいスマホ凄いな

ディスプレイに指紋センサーついているんだな。

スマホの後ろ触ったり、顔認証しなくても、ディスプレイの下の方触るだけでロック解除できるんだな。

Permalink | 記事への反応(1) | 11:56

ツイートシェア

■多くのWebサービスが二段階認証を導入しているせいで発狂しそうになる

乗っ取られてもいいから二段階認証をやめてくれ。そのときはサポートに連絡してなんとかしてもらうから。

毎回メールやスマホを確認するのが面倒臭すぎる。

Permalink | 記事への反応(1) | 09:21

ツイートシェア

■

povoに使ってるサブAndroidタブレット、通信はできても通話やSMSに対応してないのでau idの二段階認証を越えられず、ログインするためにコールセンターに電話をかけた

「androidならSMS認証できるはず」「できない端末でもSMS認証じゃなきゃダメ」「ipadならいいけどandroidはダメ」という理由で二段階認証の緩和を断られた

俺はもう一生au idにログインできない

Permalink | 記事への反応(0) | 21:22

ツイートシェア