パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
“日本の標準暗号”が10年ぶり大改定、国産暗号削減よりもRC4とSHA-1の監理ポスト入りが影響大:ITpro
図●改定で特に変化が大きかった箇所 共通鍵暗号(64ビット・ブロック暗号、128ビット・ブロック暗号、ストリーム暗号)のカテゴリは、改定前には多くの国産暗号がリストに掲載されていたが、それらの多くが改定で落とされた。ハッシュ関数は、安全性に問題がある二つの方式が削られている。(日経エレクトロニクス2013年4月15日号p.11から抜粋) 電子政府で用いる暗号方式を評価・調査するプロジェクトであるCRYPTRECが公開している「電子政府推奨暗号リスト」が10年ぶりに改定された(Tech-On!の関連記事)。同リストは、日本政府が電子システムを調達する際に使用を推奨する暗号方式を示すもの。技術的に安全性が確認された暗号方式を政府が示す役割も担っている。いわば“日本の標準暗号”を示すリストだ。 今回の改定では、2012年春に予告された通り、リストから多くの国産暗号が消えた(Tech-On!の関連
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
