単に長いだけ、複雑なだけの文字列は「最強のパスワード」とは呼べない。破られる心配はないものの、作るのは大変だし、管理できないからだ。ユーザーが負担なく作成・管理できて、それでいて破られにくい---。それこそが、本当の「最強のパスワード」だ。 目次
最強のパスワードを作る
単に長いだけ、複雑なだけの文字列は「最強のパスワード」とは呼べない。破られる心配はないものの、作るのは大変だし、管理できないからだ。ユーザーが負担なく作成・管理できて、それでいて破られにくい---。それこそが、本当の「最強のパスワード」だ。 目次
Mozilla Re-Mix: もうログインパスワードは覚えなくてもいい?OpenIDを使ってログインやフォーム記入情報を管理できるFirefoxアドオン「Sxipper」
パスワードマネージャは、Firefoxに標準で備わっている便利な機能の一つですが、これだけでログイン管理を行うこのは十分とは言えません。 このログイン機能を補うために各種アドオンがリリースされていますが、その中でもかなりの高機能を持っているのが「Sxipper」です。 「Sxipper」は、OpenIDと呼ばれるユーザーID認証システム(MSやSunなども対応)をサポートした拡張機能で、Firefoxにあるログイン情報を利用しながら、Webサイトごとに異なるログインを安全・簡単にしたり、フォームへのデータ記入を簡素化してくれます。 「Sxipper」をインストールし、Firefoxを再起動すると、アカウント作成を行うためのウィザードが別窓で開きます。 Nextをクリックしていけば、ライセンス情報、プライバシーポリシーなどが表示され、アカウントで利用するイメージアイコンの選択、アカウントネー
第12回 パスワードの決め方を考える
セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。 PCでもWebサービスでも、使う際に必ずついて回るのがIDとパスワードだ。「あ、どんなパスワード入れたか忘れちゃった……」「これは! と思うパスワードを全部入力したけどダメだった」「えーと、どんなパスワードにしよう。前と同じでいいかな?」 ほとんどの人はこんな経験をしたことがあるはずだ。その理由の1つは、守るべき要素と、運用上の使い勝手がほとんどの場合矛盾しているからである。 一般に、パスワードについては下記のようなことが“セキュリティ上重要”だと言われる。 同じパスワードを使わないこと → だからどのパスワードを使ったか分からなくなる パスワードは定期的に変更すること
「OpenIDはメアド同様に複数使い分けてもいい」、OpenID提唱者 ― @IT
2007/07/19 URIをIDとして扱うオープンな認証プロトコル、「OpenID」が北米で本格的な普及期にさしかかろうとしている。2005年の夏にブログソフトウェアを提供する米シックス・アパートから提案されたOpenIDは、2007年に入ってから関係各社・団体からのサポート表明が相次いだ。 Mozillaファウンデーションは1月、次期バージョンのFirefox 3でOpenIDサポートの意向を表明。2月にはマイクロソフトやRSAセキュリティもサポートを表明、DiggやNetvibesといったWeb2.0サービスサイトでもサポートの表明があった。同じく2月、AOLは6000万人のユーザーすべてにOpenIDのアカウント(URI)を発行。日本でもlivedoorが5月にOpenIDサポートを開始している。現在、OpenIDユーザーは全世界で約1億2000万人を数え、OpenIDを受け付ける
IEとFirefoxをインストールしている人は要注意--「非常に重大」なセキュリティリスク:ニュース - CNET Japan
「(Internet ExplorerとFirefoxの)どちらにも非がある」 「Internet Explorer」のゼロデイエクスプロイトについて当初はMicrosoftを非難していたセキュリティ研究者たちが今、このように述べている。この問題はウェブブラウザ「Firefox」のユーザーにも影響するからである。 IEと、Firefoxのバージョン2.0以降をインストールしているユーザーは、「非常に重大」なリスクにさらされている。攻撃者は、悪質なサイトをユーザーにIEで閲覧させることで、「firefoxurl://」というURLハンドラを利用しながら、ブラウザとウェブ上の特定のリソースとの間でやりとりをさせることが可能になる。この結果、ユーザーのシステムが遠隔地から悪用される可能性がある。 IEの問題を発見したセキュリティ研究者のThor Larholm氏とセキュリティ企業大手のSyman
仕様から学ぶOpenIDのキホン - @IT
にわかに注目を集めている、URLをIDとして利用する認証プロトコル、OpenID。本連載ではこのプロトコルの仕組みを技術的に解説するとともに、OpenIDが今後どのように活用されていくのかを紹介する(編集部) OpenIDってなんだろう? 現在、国内外でにわかに注目されつつあるOpenIDという仕組みを聞いたことがあるでしょうか? これはユーザー中心の分散ID認証システムですが、まだ日本での普及は進んでいない状況です。 これにはいくつか原因が挙げられるでしょうが、筆者はOpenIDが正しく理解されていないことが原因だと考えます。 本連載ではOpenIDの現行仕様、およびその拡張仕様とともに、実装を例に取りつつOpenIDとは何かということを明らかにしていきます。最終的にはOpenIDが切り開く未来を見るため、現在策定中の次期仕様についても触れていきたいと思います。 広がりつつあるブラウザベ
OpenIDが熱狂的に受け入れられる理由 ― @IT
2007/04/23 3月15日、米国の全国紙USA Todayの「Tech」セクションの紙面をOpenIDに関する記事が飾った。その記事では、さまざまなインターネットサービスが利用されるようになる中、増加の一方をたどる「IDとパスワード」を記憶する義務からユーザーを解放する新しい技術としてOpenIDが紹介されている。 OpenIDは、URLをIDとして利用する認証プロトコルである。ユーザーはOpenID認証サーバが提供するIDをコンシューマ(OpenIDによる認証に対応したサービスプロバイダのこと)でのログインに利用することができる。コンシューマはOpenIDをもとに認証サーバを発見し、自身で認証する代わりにサーバへ認証を依頼する。ユーザー認証はすべて認証サーバ上で行われるので、ユーザーはOpenIDを1つだけ覚えておけば複数のサービス(コンシューマ)へログインできるようになる。つまり
高木浩光@自宅の日記 - 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき, CAPTCHA機能の発注仕様をどうするか
■ 飾りじゃないのよCAPTCHAは 〜前代未聞のCAPTCHAもどき CAPTCHA*1が基本的に荒らし対策目的で使用されるものであることは以前にも書いた。ユーザビリティの犠牲が少ないものは早いうちに破られるし、改良してもイタチごっこになることも目に見えている。それでもなお活用する意義があるのは、使用目的が荒らし対策だからだ。新規ユーザ登録や、ログインなしでできるコメントやトラックバックなど、元々自由に利用させる機能である限り、完全に防ぐことはできないのであり、たとえ将来破られる可能性があろうとも何もしないよりはましだというわけだ。(荒らしがよりハードルの低いところへ行ってくれることを期待できる。) そのようなCAPTCHAは、日本ではあまり普及していないようだ。荒し行為が英語圏での状況ほど深刻なものになっていないためか、あるいは、イタチごっこになることが目に見えている技術の採用を嫌う国
Winnyネットワークはやっぱり真っ黒,NTTコミュニケーションズの小山氏に聞く:ITpro
ボットネット研究で知られるNTTコミュニケーションズの小山覚氏。小山氏の新しい研究対象は「Winnyネットワークの実態」だ。小山氏は「悪意のある人物がワームを撒き散らしているWinnyネットワークは『真っ黒』としか言いようがない」と指摘する。小山氏にWinnyネットワークに関する最新事情を聞いた(聞き手は中田 敦=ITpro)。 小山さんは最近,Winnyネットワークの調査を始められているそうですね。 これは,4月25日の「RSA Conference 2007」で話そうと思っていた内容なのですが,私が出るセッションは,ラックの新井悠さん,JPCERTの伊藤友里恵さん,マイクロソフトの奥天陽司さんというセキュリティ界の論客が揃ったパネル・ディスカッションなので(モデレータは日経パソコン副編集長の勝村幸博),私だけが長い時間発表するのは無理そうです(笑)。そこで,今回のインタビューで全部お話
高木浩光@自宅の日記 - JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり
■ JPCERTも糞、ベリサインも糞、マイクロソフトは糞、トレンドマイクロも糞、フィッシング対策解説は糞ばかり 一昨年7月のWASフォーラムのイベントで話した以下の件。 セキュアなWebアプリ実現のために本来やるべきことは? - 高木浩光氏, MYCOM PCWEB, 2005年7月12日 誤った解説や必要以上に危機感を煽る報道に不満 (略)アドレスバーがきちんと表示されていてURLが確認できる状態になった上で、SSLの鍵マークが表示され、ブラウザがSSL証明書に関する警告画面を出さなければ、いちいち証明書を開かなくても安全性は確認できるのに、未だに「安全性を確認するには証明書を開く必要がある」といった誤った解説が(それもセキュリティに詳しいとされている記者の記事の中で)なされている」と指摘。その上で「キーワードジャーナリズムは、よりユーザにとって手間のかからない対策手法を紹介すべきだし、
NortonにTiddlyWikiを削除された件
今朝、Norton AntiVirusをアップデートして、いつものようにブラウザでTiddlyWikiを開いたら… 突如Nortonが「”W32/Feebs”を検知した」とか言って、いきなりTiddlyWikiのHTMLを完全削除。バックアップファイルも。複数あったほかのTiddlyWikiも全部(フォルダを開いたタイミングで?)。 どうも退避したような感じでもなく、復活は無理そう。多大なるダメージ。 Nortonは「解決しました」とか高らかに表示している。 おい、重要なファイルをいきなり削除するって、どっちがウィルスなんだ、おい。 できるだけ早い段階でNortonを捨てようと思う。怖くて入れてられないよ。 Symantec氏ね。(以下同文が100万回続くが、省略) [ 追記 ] TiddlyWiki本家でのアナウンス来た。 Norton Antivirus thinks TiddlyWi
SpyBotのインストール方法
Spybotのインストール方法 前ページ→スパイウェア対策 Spybotのダウンロード方法 注:このページの内容は旧バージョンVer1.6の物です。最新版の2.0はまだ日本語に対応していません。現在のところVer1.6でも最新の更新データをDLできます。 まずは公式サイトでSpybotをダウンロードをしましょう。 http://www.safer-networking.org/mirrors16/ (Ver1.6へのリンクです) Spybotのインストール手順 ダウンロードしたSpyBotのファイルをクリックします。 インストールする際の言語を選びます。「Japanese」のまま「OK」をクリック。 「次へ」をクリックし、 利用規約に同意したらチェックを入れて「次へ」をクリック。 インストール先を決めて「次へ」をクリック。 インストールするファイルを選ぶ画面になります。 通常は「Full
【レビュー】Webサービスのニューフェース"PassPack" - 複数パスワードの管理ならおまかせを! (1) 使いやすくて安全なパスワード管理術なんて実在するの? (MYCOMジャーナル)
PassPackとは 各種SaaSで使っているサインイン/ログインアカウント、電子メールアカウント、各種IMアカウント、オンラインメールアカウント、フォーラム/チャットアカウント、アプリケーションで使っているアカウント、システムへのログインアカウントなど、サービスのWeb化が進むに従って管理しなければならないパスワードは増える一方だ。会社のPCから、出先のノートPCから、自宅のデスクノートからそれぞれアクセスするとなると、アカウント情報を記載したファイルを共有する必要があるが、どんな方法でコピーするにしてもあまり安全とはいえないし、なにせ面倒くさい。 図1 PassPack – オンラインでパスワードを管理を実施するためのWebサービス 図2 Webブラウザにおけるアクセスは基本的にHTTPSを経由して実施されている そこでオンラインで各種パスワード情報を管理しようという発想が出てくるのは
スラッシュドット ジャパン | Google: Gmailに脆弱性、Google Calculator停止中
2006年、Web2.0の旗手として名を馳せたGoogleだが、本家/.の記事によると新年早々、悪意のあるサイトによってGmailのコンタクトリストが入手される可能性のある脆弱性が指摘されたそうだ(cyber-knowledge.netの元記事)。Gmailが Javascriptファイルとしてコンタクトリストを保存しているのが問題の根幹らしい。なお、GooglifiedのBlog記事によるとすでにfixされた模様。 また、これもGooglifiedのBlog記事によれば、Google Calculatorが現在動作していないそうだ。たしかにタレコミ時点(1/2 9:00JST)では、先日の燃費算出変更のストーリーにあったガロン⇒リットルの換算や人生、宇宙、すべての答えの答えを表示できていない。 編集者追記: 記事掲載時点では「すでにfixされた模様」だったのだが、その後Googlifie
mixiコミュジャックまとめ(4)事件の流れと全体像[絵文録ことのは]2006/12/31
今回のmixiコミュニティ乗っ取り事件について、コメント欄にて「mixiのユーザーじゃないひとはもっと訳がわからないと思うので、もう少し噛み砕いて、どういうことが起こっててなにが問題なのかを解説する記述を追加してくれることを希望」という要望があった。確かにそのとおりだ。 そこでまとめようと思って少々調べてみたところ、今回の「カリスマ」グループを中心とする乗っ取り事件には、例の「三洋電機社員のプライベート写真流出事件」から始まる一連の流れがあったようなのである。 ■当ブログでの関連記事 悪質なmixiコミュジャック事案勃発中(状況まとめ/随時更新) [絵文録ことのは]2006/12/28 mixiコミュジャックまとめ(2)乗っ取られたコミュ一覧 [絵文録ことのは]2006/12/30 mixiコミュジャックまとめ(3)逆恨みと脅迫 [絵文録ことのは]2006/12/30 mixiコミュジャッ
Gmail 消失問題はパスワード漏洩が原因? - えむもじら
TechCrunch Japanese アーカイブ » Gmailの大惨事: メール大量消失の報告 によると、一部の Gmail ユーザのなかに、全てのメールと連絡先が消失してしまう事件が起こったようです。ニュースグループの投稿記事をざっと斜め読みしてまとめてみました。 メッセージ消失が起こったのは12月17日から18日にかけて。 ほとんどが、Inbox と Contacts、Sent の全てが失われた。ただし、被害が一部にとどまったと報告している人もいる。 このスレッドに報告しているのは10人弱だが、TechCrunch の記事では被害者は60人となっている。 多くの人が Firefox 2 を使用していた。ただし、IE を使用していた人もいる。 Gmail は開きっぱなしにしていて、スクリプトにより動作が遅くなっているという Firefox の警告メッセージが多数出ていたと報告している
高木浩光@自宅の日記 - ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。
■ ユビキタス社会の歩き方(1) もらったEdyはam/pmで使わない。am/pmで使ったEdyは渡さない。 高度ユビキタス化社会の到来は、プライバシーを守ろうとする人々のリテラシーをこうもややこしくする。一昨年書こうと思って準備したもののその後放置していた話を以下に書く。 2004年7月11日の日記に書いていたように、コンビニエンスストアのam/pmには、club apという会員サービスがある。am/pmで販売されているEdyカードには図1のように、club ap用の「仮パスワード」を記した紙が同封されている。 このサービスで特徴的なのは、「Edyご利用実績」という、am/pmでの買い物履歴を閲覧できるというものである。 一度メンバー登録すると、以後IDを使って、 Edyの決済やチャージの記録とお買い上げ品の明細がウェブ上で閲覧できます。小づかい帳、経費管理に、家計簿にと、便利な機能です
福岡中学生いじめ、mixiプライバシー侵害にみる個人情報(2) / SAFETY JAPAN [田淵 義朗氏] / 日経BP社
第17回 福岡中学生いじめ、mixiプライバシー侵害にみる個人情報(2) ネット情報セキュリティ研究会会長 田淵 義朗氏 2006年11月21日 恋人同士のプライベートな写真が、心無い人間によってmixiに張り付けられる事件が起きた。mixiは日本最大の会員数を擁するSNSサイトだが、悪意のある人間が引き起こす行動を抑止できないでいる。世界最大のSNS、マイスペースが最近日本に上陸したが、人気のコミュニティーサイトの裏側で起こる深刻なプライバシー侵害事件に、対策はあるのだろうか。 今回の事件は、スポーツ紙やゴシップ雑誌などが興味本位で報じたほかは、新聞、TVなどで取り上げることはほとんどなく、一部週刊誌が掲載した程度だった。 こうした問題はネット社会特有の問題として何とかしなければという議論はあっても、結局のところ放置されているのが現状だ。本当にこのままでいいのか。 事件の経緯
Latest topics > 拡張機能に電子署名って「必要」なの? - outsider reflex
Latest topics > 拡張機能に電子署名って「必要」なの? 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « Firefox 2でタブを縦置きする方法(pure CSS solution) Main フィードバックできるようになって、変わったこと » 拡張機能に電子署名って「必要」なの? - Nov 15, 2006 Firefoxで拡張機能のインストール時に「この拡張機能は署名されていません」という警告が表示されるけれども、これについて、署名くらい付けろよという話がたまに出る。利用者の安全性を確保するという観点では確かに重要な事だ。けど、現実には、署名付きの拡張機能というのはほとんど無い。それは何故なのか。 署名を付けるには何が必要なん
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
コメントスパム対策Akismet導入方法 » BirDesign