パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
ニュース - あなたのパスワード、バレてます(WIRED.jp):ITpro
マット・ホーナン|MAT HONAN US版『WIRED』およびWIRED.comガジェットラボのシニア・ライター。この記事の速報はWIRED.comで大ヒットとなった。 人生を狂わすパスワード 手元の秘密がひとつ暴かれるだけで、あなたの人生は崩壊しかねない。そもそも、その秘密は意外とガードがゆるい。無頓着な人なら6文字、警戒心の強い人なら16文字。その簡単な文字列が、あなたのすべてをあらわにしてしまう。 メール、銀行口座、住所にクレジットカードの番号から、子どもたちの写真、いまこの文章を読んでいるあなたの居場所まで、パスワードさえあれば大切な情報は守ることができるとされてきた。しかし、それは迷信、幻想、時代遅れだ。 パスワードがどんなに複雑でも、独特でも、個人情報は守れない。 いまやハッカーがコンピューターシステムに侵入してユーザー名とパスワードの一覧をウェブで公開したり、それを転売した
パスワードを設定する時に必ず守るべき4つの基本事項 | ライフハッカー・ジャパン
分かり難いパスワードを設定することがいかに大切かということは、ライフハッカーでも口を酸っぱくして何度も言ってきました。それでもまだ多くの人が、分かりやすくて安直なパスワードを使い続けています。3,200万人分のパスワードを分析しても、未だによくあるパスワードの上位はこんな感じ(画像参照)なのです。 去年の12月、FacebookなどのSNSにマルチメディアスライドショーなどを提供している「RockYou」が、パスワードデータベースの情報を漏洩しました。3,200万人分のパスワードとログイン情報が、一人のハッカーの手によって公に晒されてしまったのです。 セキュリティ会社の「Imperva」は、3,200万人のパスワードをくまなく調べ分析しました。その結果、RockYouのユーザーが設定しているパスワードの欠点と、パスワードがあまりにも更新されなさ過ぎるという嘆かわしい事実を、「Consume
実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー・ジャパン
ライフハッカー編集部様 私の会社やいくつかのウェブサイトが、パスワードを定期的(たとえば3カ月おき)に変えるように強制してきます。基本的にパスワードはどれくらいの頻度で変えるべきなのでしょうか? 使い古しのパスワード(Stale Passwords)より 使い古しのパスワードさん、こんにちは。 多くの組織がユーザーにパスワードの変更を強制しています。長い間、それがセキュリティーの「ベストプラクティス」だと考えられてきたからです。しかし、実際には賛否両論のテーマなのです。以下にパスワードの変更が「有効であるケース」と「有効でないケース」について解説します。■なぜ企業はパスワードに有効期限を設けているのか? パスワードを定期的に変える利点は、パスワードが盗まれた場合に、犯人がシステムに侵入できる期間を制限できることです。もし、パスワードに有効期限がなく、またパスワードが盗まれたことにも気づかな
id-manager.el - 技術日記@kiwanami
いい加減ちゃんとIDの管理をしようと思って、Emacsで動くID/Password管理ツールを作ってみました。gpgが入っていて、EasyPGやalpacaなどで自動的にファイルが暗号化される仕組みを前提にしています。UbuntuのEmacs23.1でしか試していませんが、ちょっと直せばMacやWindowsのEmacsでも動くと思います。 svn: http://svn.codecheck.in/lang/elisp/id-manager/trunk/id-manager.el 上のelispを適当なところにおいて、 (require 'id-manager) します。例によってanything前提で、 (global-set-key (kbd "M-7") 'id-manager) としておけば、M-7などで起動します。anythingで絞り込んでパスワードをコピーしたり、参照したり、
堅牢なパスワードを強制するテクニック - 日向夏特殊応援部隊
やっぱりサービス側で堅牢なパスワードをユーザーに強制する仕組みが無いと問題があるサービスと言うのはたくさんあるって事で、Perlで出来る限り簡単にそういう仕組みを作れないかなと。 幾つかピックアップしてみました。 Data::Passwordモジュールを使う 真っ先にこれ。UNIX系OSでのパスワードの強度チェックと似たモジュールのようです。 use Data::Password qw(:all); print IsBadPassword("hogehoge"); 文字列が表示されちゃう場合はNGなパスワード。 このモジュールは辞書設定も出来るようです。 @Data::Password::DICTIONARIESに辞書ファイルを指定しておくとそこの内容も見てくれるみたい。 ありがちなパスワード集はftp://ftp.ox.ac.uk/pub/wordlists/に言語別にあります。 またU
Twitterとソーシャルハッキング - www.textfile.org
http://twitter.g.hatena.ne.jp/worris/20070417 あるサイトのパスワードを別サイトに渡すという話題。 「いちいち異なるパスワードにするのは現実的でないからなぁ。」と書かれていますが、みなさんパスワードって頭で覚えているんでしょうか。結城はサイトごとに別のパスワード使っていますね。頭で記憶できるパスワードはもともと安全ではないと思っているので、適当なメッセージダイジェスト関数を使って作ったランダム文字列をメモしています。 たとえば↓のようなの(実際に結城が使っているものではありません)。 C:\work> type make_password.pl use Digest::SHA1 qw(sha1_base64); print sha1_base64(<STDIN>); C:\work> perl make_password.pl jw9834i5j
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
『パスワードとかの話』へのコメント