パスワードの要件をガイドラインと実態調査から考える
今回のブログではパスワードについて考えたいと思います。組織・システムにはどのようなパスワード要件を設けるべきかや、ユーザーはどのようなパスワードを設定するべきかについて様々な議論やガイドがあります。このブログで達成したいことはいわゆるパスワード要件について答えを示すことではなく、読者にパスワードについて考える機会を持ってもらうことです。 そこで考える話のたねとして、NIST(National Institute of Standards and Technology)やCIS(Center for Internet Security)などの団体が示しているパスワードポリシーに関するガイドから、パスワードの要件を整理しました。 さらに、では実態はどうかということで、31のWebサイトでアカウント作成またはドキュメントを調査することで、そのWebサイトで実際にどのようなパスワードの要件が定めら
解除パスワードのわからないExcelマクロ(Excel VBA)のパスワードを強制的に解除する方法 – OTTAN.XYZ
 悪用厳禁ですよ。 企業の社内システムで Excel マクロがいまだに幅を利かせている事は事実であり、その Excel マクロをメンテナンスしている「Excel おじさん」がいるのも紛れもない事実です。 ところが、年月の経過と共に Excel マクロの中身はしだいにブラックボックス化します。また、Excel おじさんの定年退職や部署異動に伴い、属人化していた Excel マクロをメンテナンスできる人材が減少、もしくは不在になる事も、長年企業に勤めているとありがちな事です。 ある日、上司に「君、業務で使っているこの Excel マクロ、ちょっと改修して欲しいんだが」と頼まれました。 Excel マクロは、なぜか新入社員時代に OJT(On the Job Training)の一環という名目のもと散々勉強した経験のある「君」ですから、多少スパゲティ化していたとしても、「たかだか Excel
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
パスワードを安全に共有できるオープンソースプロジェクト「Yopass」
Yopass https://yopass.se/#/ Yopassの特徴 「Yopass」は、パスワードを安全に共有できるWebツールです。入力されたパスワード情報は、特定期間保持され、1度開くと破棄される仕組みでセキュアな受け渡しを可能にしています。 https://github.com/jhaals/yopass なおこちらオープンソースとしても提供されています。 パスワードを送信します まずは、パスワードと有効期限を設定し暗号化を行います。 URLが発行されたら、パスワードを共有したい相手に送付。 受け取った側がURLを開くと、復号化され入力されたパスワードを見ることができます。 さらにもう一度URLにアクセスすると、既にパスワードは見られなくなっています。 メールやSlackでパスワードを共有するシチュエーションで、ぜひ使ってみてください。 Yopass https://yopa
Mac(macOS)でパスワード付きZIPファイルを作成する
ZIPファイルにパスワードを付けて暗号化しておくと、その内容を保護し、安全に保管したり、電子メールで送信したりできる。macOS(OS X)の場合、OS X Leopard以降、標準でZIPファイルにパスワードを付ける機能が実装されている。その方法を紹介する。 ファイルをやりとりする際などに、複数のファイルを1つにまとめるZIP形式の圧縮ファイルが広く利用されている。特に電子メールに添付するような場合は、パスワード付きZIPファイルでやりとりを行うことが多い。 Windows Vista以降のWindows OSの場合、Tech TIPS「ZIPファイルにパスワードを付ける」のようにパスワード付きZIPファイルの作成には、「7-Zip」などのアーカイブツールが必要になっている。 一方、macOS(OS X)の場合、OS X Leopard以降、標準でZIPファイルにパスワードを付ける機能が
パスワード認証無しでSSH接続とsudoとsuを実行する方法 | Tech-Sketch
Chef/Ansible/Puppet/Itamaeなどのサーバ構築自動化ツールや、ServerSpec/Infratasterなどのインフラテスト自動化ツールの使用することが多くなっている。 これらのツールを使用する為に管理サーバから各ノードに対して制御を行う際に、パスワード入力無しでのSSH接続を行う必要が発生する。さらにインストールやサーバ内の設定作業を実施する為、root権限でコマンドを実行するsudoコマンドやsuコマンドをパスワード認証無しで実行できる必要が発生する。 サーバ構築自動化、テスト自動化ツールを使う上での前提となる 「パスワード認証無しでSSH接続とsudoとsuを実行する方法」 について、以下にまとめてみた。 検証にはいつもの以下の環境を使用する。 今回は以下の機能を実現する。 1. 管理サーバ側からノード側へのSSH接続に鍵認証を使用することでパスワード入力を
SQLユーザー要注意!意外と知らないMySQLのrootパスワード設定方法
更新日: 2018年10月12日公開日: 2016年3月30日SQLユーザー要注意!意外と知らないMySQLのrootパスワード設定方法 MySQLは現在、日本で最も汎用的に使用されているリレーショナルデータベースシステムと言えるでしょう。 以前は安全性の高いOracleや日本での人気の高いPostgreSQLの方が多く使用されていましたが、MySQLの信頼度が以前より断然に高まり、日本国内での人気も一気に高まってきました。PHPなどのWeb言語との親和性も高く、何よりフリーソフトであることで人気を集めています。 そのMySQLを使用する際に真っ先に一番気をつけなくてはいけないこと、それはrootユーザーにパスワードを設定することです。コレを怠っては簡単に乗っ取りなどが発生してしまう危険性があります。そうさせないためにも、MySQLにおけるrootユーザーのパスワード設定をしっかりしておき
真のパスワード強度を測定する5つのアルゴリズム | 株式会社ヌーラボ(Nulab inc.)
Webサービスでアカウントを登録する際、パスワードを入力する度にその安全度を表してくれる強度メーター。皆様もおそらく目にしたことがあるのではないでしょうか。GoogleやFacebook、Twitterのような大規模なサービスでも、サインアップ画面等に設置されています。 このUIの要素は、MSR(Microsoft Research)の論文によると類推されづらいパスワードを促してサービスの安全性を高めることに効果的だということが証明されています。 お客様自身の大事な情報を守る上でとても重要なパスワード。ヌーラボアカウントでも、類推されにくいより強度の高い設定を促すためにパスワード強度メーターを設置しました。 この記事では、パスワード強度メーターを設置するに当って得た知見をもとに、その裏側の仕組みをご紹介させていただきます。 パスワード強度ってなに ? そもそもパスワード強度とはなんなのか。
どんなアプリにもパスワードを入力できるiPhoneアプリに惚れた! - 週刊アスキー
『PassKeys』 バージョン:1.0 App Store価格:無料 (バージョンと価格は記事掲載時のものです) いくら指紋認証などに対応していて、ラクにパスワードを入力できる『1Password』が便利でも、SafariやPocketなど一部対応アプリにしかすばやくパスワードを入力できないのは窮屈。キーボードふうの『PassKeys』なら、どこへでもサッとログインできる! PassKeysは、iPhone上に追加したパスワードから任意に呼び出して入力できるシンプルな管理アプリ。リスト形式で保存されるのでスグにみつけられる。パスワードの同期/共有といった今っぽい機能はないけど、“AES”や“Twofish”といった信頼性の高い技術でパスワードを保護するのでデータ漏洩のリスクは少ないよ。 便利すぎてビビったのが、標準キーボードと切り替えられるパスワード入力パネル。追加したIDやパスワードは
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか
Adobe社のサイトの不正アクセス(参照、参照)によって、少なくとも3800万人のIDと暗号化されたパスワードが漏えいしたと言われています。既に報告したように、私のアカウントも漏えいしていました。 その後、『Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用』というニュースが流れてきました。安易なパスワードが使われている統計は今までもあり、「パスワードの実態」に関しては「そんなものだろうな」と思いましたが、問題は、どうやって「暗号化パスワード」を解読したかです。 別の報道では、Adobeサイトがパスワードの暗号化に用いていたアルゴリズムはトリプルDESだったということです。トリプルDESは電子政府推奨暗号リストの今年の改訂でもしぶとく生き残り広く使われている暗号化アルゴリズムです。そんなに簡単に解読されたのでは問題ですが、実際には、「トリプルDESが解読
Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用
Adobeから流出したユーザーのパスワードをセキュリティ企業が調べた結果、「123456」「qwerty」などの安易なパスワードを使っているユーザーが大量に存在することが分かった。 米Adobe Systemsのネットワークが不正アクセスされて大量のユーザー情報などが流出した事件で、流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。 Adobeの情報流出は10月3日に発覚し、影響を受けるユーザーは少なくとも3800万人に上ることが分かっている。同社によると、流出したパスワードは暗号化されていたが、パスワードセキュリティを手掛ける米Stricture Consulting Group(SCG)はこの情報を分析し、使用者数の多かった上位100のパスワードを割り出した。 集計できた理由としてSCGのジ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【やじうまWatch】パスワードの変更間隔、16日でも27年でも効果は大差なし? 定量的評価の結果が話題に -INTERNET Watch