数字6桁パスワードのハッシュ値の総当たり、PHPなら約0.25秒で終わるよ
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
パスワード問合せシステムを作る (clojureのreducers) - Qiita
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
単純ではない、最新「クロスサイトスクリプティング」事情
単純ではない、最新「クロスサイトスクリプティング」事情:HTML5時代の「新しいセキュリティ・エチケット」(2)(1/3 ページ) 連載目次 皆さんこんにちは。ネットエージェントのはせがわようすけです。第1回目は、Webアプリケーションセキュリティの境界条件であるオリジンという概念について説明しました。 現在のWebブラウザーでは、同一オリジンのリソースは同じ保護範囲にあるものとし、オリジンを超えたアクセスについてはリソースの提供元が明示的に許可しない限りはアクセスできないという、「同一オリジンポリシー(Same-Origin Policy)」に従ってリソースを保護しています。 その保護範囲であるオリジンを超え、リソースにアクセスする攻撃の代表事例であるクロスサイトスクリプティング(XSS)について、今回、および次回の2回に分け、HTML5においてより高度化された攻撃と、その対策を説明しま
Evernote: 会社の規模にあわせてのセキュリティ対策の考え方 - ワザノバ | wazanova
http://firstround.com/article/Evernotes-CTO-on-Your-Biggest-Security-Worries-From-Three-Employees-to-300 セキュリティは本当に大事だけど、会社が小さいうちにものすごいコストをかけた対策はできないので、段階的にやっていくことになるのが典型的なパターンだと思いますが、「では、具体的にどの段階で何をやるのか?」について、EvernoteのCTOであるDave EngbergがFirst Round CTO Summitで自らの考えを紹介しています。 まず、原則として、「導入しようとしてるセキュリティの対策が、守ろうとしていることのリスクよりも低いときだけ、実行する。」こと。会社が小さいときは失うもののリスクも小さいので、対策もおおげさなものでなくということになるが、Tech Crunchに最初
IEでパスワードが●で非表示の部分を簡単に表示する方法
●でパスワードが非表示部分を表示する手順 1. ●でパスワードが非表示になっているページでF12を押す ( Macはoption + command + I ) 2. するとブラウザの下に開発ツールが表示される 3. 左にある白いカーソルをクリックし、パスワードの部分をクリックする 4. inputタグの部分が表示されるので属性のtype="password"の部分をtype="text"に変更する。""(カラ)も可能 ※ ※ Console(コンソール)に以下のテキストを貼り付けてEnterを押せば同様のことが実行可能。 $$('input[type="password"]').forEach(x => x.type = ''); 以上の手順で●で非表示になっているパスワードの部分を表示することができる。 開発ツールがあるChrome、Firefox、Safariなどのブラウザでも同じこ
さくらDNSにサブドメインハイジャックを許す脆弱性
さくらインターネット株式会社のDNSサービスにセキュリティ上の問題がありましたが、改修されましたので報告します。 DNSサービスへのドメイン登録時における不具合について 障害内容 : 当社の提供するネームサーバサービスにおいて、既に登録されているドメインのサブドメインが、他の会員IDの方に登録できる状態となっておりました。この障害により、悪意のある第三者がドメインの一部を乗っとれる脆弱性につながる危険性がありました。 本問題につきましては現在は解消されており、全ての登録について不正がないかの調査を行っております。 この問題の発見者は前野年紀氏で、私はさくらインターネット株式会社に問題を通告し、改修を促すための連絡などでお手伝いをしました。 (12:00追記)なお、この脆弱性が混入したのは6月8日頃で、さくらインターネットは6月11日から修正を開始し、昨日(6月13日)には改修されましたので
[memo]UDID/UUID/UIIDなどとiOS6の新IDの違い - tanamonの稀に良く書く日記
UなんとかIDみたいなのがいっぱいあって区別がつかないので少し整理してみた。 なんとかIDの種類。 UDID(Unique Device IDentifier) (たぶん)Apple用語。 iOS端末の製造時に割り当てられる固有の識別コードで、値の変更はできない。 端末IDや端末固定IDと呼ばれるものと同じ。 iOS5からアプリからの取得が非推奨になった。 UUID(Universally Unique IDentifier) RFC 4122で定義されている。 生成の度に値が変わり、理論上重複することがない。 実装的にはGUID(Globally Unique IDentifier)が有名。 iOS6からNSUUIDクラスを使って簡単に生成できるようになった。 UIID(Unique Installation IDentifier) インストールごとに変わるという性質を持ったUUID。
![[memo]UDID/UUID/UIIDなどとiOS6の新IDの違い - tanamonの稀に良く書く日記](https://cdn-ak-scissors.b.st-hatena.com/image/square/5f1b7ecb079a2a7d8d7139254b5272f49b9ace1a/height=288;version=1;width=512/https%3A%2F%2Fogimage.blog.st-hatena.com%2F17680117126983516850%2F17680117126983518256%2F1551347395)
レインボーテーブル – パスワード流出への対策を根本から理解する。 | DevelopersIO
はじめに 先日、Yahooに不正アクセスがあり、ユーザ名とパスワードを抽出しようとするプログラムが見つかったそうです。 そんな事もありまして、今回は少し趣を変えて、レインボーテーブルのお話をしたいと思います。 今まで概念は知っていても使う事がなかった技術ですが、この機会に詳しく知っておくのも良いかと思います。 レインボーテーブルは、ハッシュから平文を得るためのアルゴリズムの一つですが、実際にそのアルゴリズムで使用されるテーブルの事をいうこともあります。 今回はレインボーテーブルというアルゴリズムについて掘り下げて行きたいと思います。 ハッシュと平文のセットのテーブル レインボーテーブルの基本的な考え方は、非常にシンプルで、このハッシュだったら平文はこれですよというのを事前に用意しておきましょうという事です。 例えば人気パスワードランキング2012より、上位5件のパスワードに付いてもしこのハ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロデイ脆弱性を悪用した攻撃からシステムを守る「Malwarebytes Anti-Exploit」NOT SUPPORTED