本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
IDやパスワードは使い回しをやめて、適切な管理を--IPA呼びかけ
情報処理推進機構セキュリティセンター(IPA/ISEC)は6月3日、5月の「コンピュータウイルス・不正アクセスの届出状況」を発表した。4~5月に1億件を超えるIDやパスワードを含むアカウント情報漏えい事件などが発生していることから、IDやパスワードをほかのサービスでも使い回ししていた利用者の情報が含まれている可能性も高く、その場合それらのサービスでも“なりすまし”をされ、被害が拡大する可能性があるとしている。 オンラインサービスでなりすましをされた場合、金銭的な被害も受ける危険があり、これを防ぐためにはパスワードの作成や管理に十分な注意が必要としている。そのためオンラインサービスで利用するIDやパスワードは、それを悪用しようとしている者に常に狙われていることを意識し、特に“使い回し”を避けるなど適切に管理するよう呼びかけている。 利用者が入力したIDやパスワードを盗み出すウイルス(キーロガ
ウェブアプリ開発歴15年の筆者が勧める、1つのパスワードによるセキュリティ強化法 | ライフハッカー・ジャパン
ツイッター、フェイスブック、GmailにPaypal、オンラインバンクまで...。私たちは毎日、多くのウェブサイトを利用しています。複数のウェブサイトで同じパスワードを使いまわすことがセキュリティリスクを高めることは、もはや常識ですし、複数の文字種を使って、できるだけ長いパスワードを作ることが望ましいことも、みなさんすでにご存知かとは思います。しかし、すべてのウェブサイトをセキュリティ度の高いパスワードで、別々に管理するのはかなり困難です。 ウェブアプリ開発歴15年の開発者で、アプリケーションセキュリティやソフトウェア開発のプロセスなど、テクノロジーに関する記事を自身のブログ「troyhunt.com」に執筆しているTroy Hunt氏は、実際に発生した事例をもとに、パスワードの使い回しのリスクについて詳しく述べるとともに、セキュリティリスクを軽減するためのパスワード管理ツールの活用を、次
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
ちょっとセキュアな「いつもの」パスワード - ぼくはまちちゃん!
こんにちはこんにちは!! 最近はメールでもなんでもWEB上の便利なサービスが増えてきましたね…! でも、いろいろ登録しすぎて、いよいよぼくもパスワードが管理できなくなってきました…! えっ! もしかして面倒だから、ぜんぶ同じパスワード使ってたりするるんでしょうか…! だめです!だめだめ!それはだめ。 全部のサイトで同じパスワードにするのってものすごく危険ですよ!!! これはほんと! だって、もしなにかあって、どれかひとつのパスワードがばれちゃったら全部芋づるだから…! 登録したWEBサイトの管理者の中に悪い人がいる可能性もあるし。 (個人運営のサイトはもちろん、たとえ大きな企業のサイトでもバイトちゃんが見れたりとか…) でもだからといって全部別のものにすると覚えられないんだよね。 たとえば自分宛にメールしておくとか… Dropboxのような共有フォルダにパスワードのメモいれとくとか… パス
パスワード管理術 30個以上のパスワードを簡単に暗記する方法|MOBILE POWER 〜読書とかiPhoneとか〜 - livedoor Blog
ここ半年くらいパスワード流出のニュースが多いですね。。 自分の身は自分で守るしかない!ということで、パスワードをサービスごとに変えつつ、それを全て暗記できる簡単な方法を考えてみました。パスワードの使い回しは危険! 深夜の『アメーバブログ』芸能人パスワード流出事件! その流れを解説 - ガジェット通信 Twitterのパスワード流出問題、根本原因はユーザーの使い回し - ITmedia エンタープライズ Hotmailに続く:Gmailや米Yahoo!メールも情報流出、パスワードの変更を - ITmedia エンタープライズ パスワード流出自体は完全にサービス側の問題ですが、複数のサービスで同一パスワードを利用していることによって被害が拡大します。 とはいっても同一のパスワードで複数のサービスに登録している人が非常に多い、というのが現実です。それは当然だと思います。 複数のパスワードを覚えて
安易なユーザー名とパスワードのワースト10、Microsoftが発表
米Microsoftは11月27日のブログで、自動化された攻撃の標的となりやすい安易なユーザー名とパスワードのワースト10を発表した。 Microsoftはおとり用のFTPサーバを通じ、ありがちなユーザー名とパスワードの組み合わせを順番に試してパスワードを破ろうとする攻撃について情報を収集した。その結果、過去数カ月の攻撃で狙われたユーザー名は「Administrator」と「Administrateur」を筆頭に、「admin」「andrew」「dave」「steve」などの人名をそのまま使ったものが多いことが分かった。 パスワード攻撃では「password」「123456」という安易なパスワードが標的となるケースが圧倒的に多く、次いで「#!comment:」「changeme」「F**kyou(英語の悪態表現)」「abc123」などが上位を占めた。 順位 ユーザー名 攻撃回数 パスワード
パスワード管理の秘策は? | スラド セキュリティ
ストーリー by hylom 2009年11月13日 13時52分 最もよろしくないソリューション「全部同じパスワードにする」 部門より 最近自分のセキュリティに関して再考している。万が一ノートPCが盗まれた場合のことを考えると、Firefoxに自分の銀行サイトなどのパスワードを保存しておくのは良案とは思えない。またパスワードを全て覚えておくというのは、最近の記憶力の衰えた自分の脳みそにはなかなか厳しいのが現状だ。パスワード管理ツールの導入も検討したが、あまりに多くのツールが出回っていて正直把握しきれない。Firefoxのアドオンの「Magic Password Generator」などは良さそうだが、アドオンを入れていないコンピュータを使うこともあるかもしれないし、Firefoxで使う以外のパスワードも管理したい。 出来ればアプリケーションやブラウザ、また端末依存でなく、持ち運びしやすく
まとめ:パスワードで「あ、あれ?」とならないための17選 | ライフハッカー・ジャパン
突然ですが、みなさんは一日に何回パスワードを入力しますか? そのパスワードはシンプルなものじゃありませんか? このフリー<無料>サービス全盛の時代。今やサービスの対価はお金ではなくユーザー名とパスワードの入力作業なのではないか?と錯覚しそうになるぐらい、日常はパスワードを要求される場面で溢れかえっています。 パスワードは同じものにしないほうがよいと言われますし、一番安全な保管場所は「自分の頭の中」というのが定説。でも、そういはいっても、パスワードを入力して、「あ、あれ?」となるとやっぱりあせりますよね? スマートに安全に。生産性向上にもつながるパスワードまわりの記事をまとめてみました。 パスワード設定編 ・より安全なパスワード設定のコツ ・おそらく割り出すのは不可能なパスワード生成ツール ・パスワードをモチベーション維持のツールとして活用するという発想 ・絶対に使ってはいけないパスワードと
第35回 覗き見対策 | WIRED VISION
第35回 覗き見対策 2009年9月15日 (これまでの増井俊之の「界面潮流」はこちら) パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。 ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。 伏字が有害だとNielsen氏が言った理由は以下のようなものです。 ユーザの操作に対しては常にフィードバックが返るべきである 本当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味が
第31回 安全と安心 | WIRED VISION
第31回 安全と安心 2009年5月11日 (これまでの増井俊之の「界面潮流」はこちら) ISO(国際標準化機構)/IEC(国際電気標準会議)のGuide 51という規格(規格に安全面を導入するためのガイドライン)では、安全とは「受け入れ不可能なリスクがないこと」と定義されています。ここでいうリスクとは「利を求める代償としての危険」のことで、自然災害のような受動的な危険はリスクと呼びません。富士山は噴火する危険はありますが、噴火するリスクがあるとは言いません。電話やネットのように便利さを求めるものにはオレオレ詐欺にひっかかるリスクがあったりすることになります。つまり、能動的な行動にリスクはつきものですが、リスクが充分小さいものは安全であると数値的な解釈ができることになります。 このように安全は客観的に定義が可能ですが、安心は主観的なものなので、必ずしも安全さと安心感は比例しません。例えば、
FPN-ゼイヴェル・大浜史太郎社長へのインタビューを読んだ
2.ビジネスリサーチの情報収集 日常的な情報収集・整理術(Feedly+Dropbox) 【 ビジネス 情報収集 と 情報整理 の基本 】いま目の前にあるリサーチプロジェクトとは別に、普段からデジタル時代の「新聞 切り抜き」に相当する情報収集・整理を行う必要が… 2021.02.10 2021.05.08 289 view コラム〜リサーチャーの日常 トリプル ディスプレイ モニター 在宅勤務が常態化している人は、まず トリプル ディスプレイ 環境に投資することを考えてみてください。作業効率の圧倒的向上が可能です。… 2021.05.06 2021.05.11 205 view 1.ビジネスリサーチの基本・心構え すべては「依頼」から始まる〜社内リサーチャーと社外リサーチャ… 【 リサーチャー とは 】企業で企画系の仕事をしていると、上司の依頼で調べものをして資料にまとめるという仕事が多い
より安全なパスワード設定のコツ | ライフハッカー・ジャパン
米lifehacker過去記事「Passwords You Should Never, Ever Use?(使っちゃいけないパスワード)」を掲載したところ、より安全なパスワード設定のコツを読者の方々からたくさん共有いただきました。 まずは、超基本編として、日本版の過去記事「絶対に使ってはいけないパスワードとは」をどうぞ。 このほか、米読者の方から寄せられたパスワード設定のコツ(解説動画付き)は、以下にて。 • ZaltanaCebrionesさんは、「12345」がパスワードとしてダメな理由を示しています。以下の動画で一目瞭然です。 • park3rさんは、「admin」を「使っちゃいけないパスワード一覧」に追加することを提案しています。シスコ社のLinksys Wi-Fiルーターのほとんどは、これがデフォルト設定になっているからです。同じく、他のルーターでデフォルト設定されているワードも
pasuword。漏れを防ぎましょう。Emailの現実を見てください。(*´ω`)ゝ
DoRuby! (ドルビー!) は現場のエンジニアによる、主にRubyなどの技術に関する様々な実践ノウハウを集めた技術情報サイトです。 電子メールの利便性を実現するPOP3。その問題点について掘り下げてお話しします。 弊社を含め、多くの企業様でPOP機能が採用されているかと思います。 とても便利な機能な反面、怖い点についてはあまり実感されていない気がします。 この問題はとても有名ではありますので恐らくご存じだと思います。 問題を認識しつつ上司が理解してくれない。なんてこともあるのではないですか? プレゼン資料に書く材料として今回は少し具体的に感じていただきます。 弊社POPサーバにいおては、この点を考慮し、APOPを採用しております。説明のため、試しに私のMailパスワードを takagi に変更しました。ここで感じていただきたいのは現実です。自分のメールが他人に見られるということ。それが
phpbb.comから流出したパスワード、その傾向は? | スラド
ストーリー by soara 2009年03月14日 15時10分 あっちでこっちでパスワード、考えるのも大変だ 部門より やや旧聞になるかもしれないが、先日、オープンソースの電子掲示板システム「phpBB」を提供しているphpbb.comが攻撃され、約2万ものユーザーパスワードが流出する事件が発生した。攻撃者はこのパスワードをオンラインで公開したのだが、このパスワード情報を解析した結果、「よく使われるパスワード」がやはり多数存在していた、ということがDark Readingの記事で述べられている。 パスワードを解析した結果、まずその16%が人名(姓ではなく名前)であり、また14%が「1234」や「qwerty」といったキーボードのパターンであったという。また、4%が「passw0rd」や「password1」など、「password」という単語を変えたもので、5%が「hannah」や「p
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
MOONGIFT: � 結構怖い。Google Chromeのパスを一覧/出力する「ChromePass」:オープンソースを毎日紹介
Google Chromeをお使いの方はいらっしゃるだろうか。まだβ版であって、色々荒削りな部分も散見されるが、JavaScriptの高速性はぴか一で、Webアプリケーションの拡大に一役買ってくれることだろう。 Google Chromeに登録されているパスワードが一覧される そんなGoogle Chromeを使う上で怖いのがこのソフトウェアの存在かも知れない。 今回紹介するフリーウェアはChromePass、Google Chromeに登録されているパスワードのビューワーだ。 ChromePassは特にマスターパスワードも必要なく、Google Chromeに登録されているパスワードを一覧できる。サイト、ユーザID、パスワードが全て平文で見られるようになっている。これを全く無関係なコンピュータで実行すると…なんて考えると怖いものがある。ちなみにGUIモードの他にコマンドラインから動作させ
4桁の英字パスワードは3秒で破られる--IPAが注意を呼びかけ
独立行政法人 情報処理推進機構セキュリティセンター(IPA/ISEC)は10月2日、2008年9月および第3四半期のコンピュータウイルス、不正アクセスの届出状況をまとめ、発表した。9月に寄せられた相談や届出の中に、「登録しているオークションサイトに、身に覚えのない商品が自分のIDで出品されている」といった、アカウントを不正に利用されたという被害が複数あったという。 相談の中には、数字だけの組み合わせや簡単な英単語をパスワードに設定していたために容易に見破られ、アカウントを不正に利用されたと推測されるケースがあった。オークションサイトなどのサービスでは、アカウントを不正に利用されると金銭的な被害が発生する危険があるため、パスワードの作成や管理には十分な注意が必要としている。 オークションなどのサービスを提供するウェブサイトでは、パスワードを作成する際に「英字、数字、記号をランダムに組み合わせ
Five Best Password Managers
Click to viewYou've got enough to keep track of in your day-to-day life without filling your head with the countless logins and passwords you've racked up over the years, and the Post-It note on your monitor just isn't an option. Luckily, there are several fantastic and secure password management applications designed to make it easy for you to remember, manage, and secure your passwords effortles
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う