ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
21年に漏えいした日本のパスワード、2位は「password」 1位は? ソリトンシステムズ調査
ソリトンシステムズは2月7日、「日本人のパスワードランキング2021」を発表した。2021年に発見された209の情報漏えい事件から日本人が利用するパスワードを同社が分析したところ、トップは「123456」で、同社が調査を開始した20年から2年連続で1位となった。 2位は「password」、3位は「000000」、4位は「1qaz2wsx」、5位は「12345678」、6位は「123456789」、7位は「111111」、8位は「sakura」、9位は「dropbox」、10位は「12345」。キーボードの配列を左から縦に入力したものであったり、人名やサービス名をパスワードにしていたりするケースも見られた。 同社は、パナマのセキュリティ企業NordSecurityが発表している日本のパスワードランキングも紹介。それによると1位は「password」、2位は「123456」、3位は「1234
使ってはいけないダメなパスワードTop200発表 - 2021年版
NordPassは11月19日(現地時間)、パスワードの使用に関して調査した「Top 200 most common passwords」というタイトルのレポートを公開した。これは、よく使われているパスワード上位200個を調べる年次調査の2021年版で、50カ国のパスワードを含む4TBのデータベースに基づいた分析結果をまとめたものである。 このレポートによると、2021年の最も一般的なパスワードの上位10件は次図のとおりになったという。 2021年の最も一般的に使用されているパスワードの上位10件 資料:NordPass 最もよく使用されるパスワードは依然として「123456」で、次いで単に桁数が増減しただけの「123456789」と「12345」、キーボードの並びに基づく「qwerty」、そして何の工夫もない「password」と続いている。 1人あたりのパスワード流出件数を示した次のマ
銀行利用とネットセキュリティに関する意識・実態を調査 - PayPay銀行
銀行利用とネットセキュリティに関する意識・実態を調査 高まるネット銀行需要、いつでも使える、来店不要の利便性が評価 ネットサービス利用者の7割がセキュリティ対策を意識する一方、 6人に1人が1つのパスワードを使い回す実態が明らかに 明日からできる、資産を守る最新のセキュリティ対策とは? 2021年7月26日 PayPay銀行株式会社 PayPay銀行株式会社(本社:東京都新宿区、代表取締役社長:田鎖智人、以下PayPay銀行)は、15~59歳の男女各500名、計1,000名を対象に、銀行利用とネットセキュリティに関する意識・実態調査を行いました。 コロナ禍、キャッシュレス決済・ネットサービスの利用増加、さまざまな環境の変化が起きている現在の銀行口座の利用状況とネットセキュリティへの意識を調査 2021年は都市銀行で紙の通帳有料化を開始するなど、銀行サービスのデジタル化が加速し、大きな変革が
ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
強力なパスワードを楽々管理、iPhone「キーチェーン」の使い方を覚えよう
インターネットで提供される複数のサービスで同一のアカウントとパスワードを利用すると、1カ所からユーザー情報が流出するだけで他のサービスも芋づる式に危険にさらされる可能性がある。パスワードの使い回しを避けるのは大原則だ。 iPhoneにはユーザーが複数のアカウントとパスワードを安全に運用するための機能が搭載されている。今回はその根幹となる「キーチェーン」の使い方を紹介しよう。 強固なパスワードを自動生成 初めて利用するサービスでアカウントを作成する際、iPhoneの「Safari」や対応アプリを使うと「強力なパスワード」として「tanquq-fomsyb-8nigdU」のような脈絡のない文字列が提案され、自動的にパスワード欄に入力される。確認のための再入力欄にも同じものが入力されるため、ユーザーが手入力することなく手続きを進められる。 アカウントと自動生成されたパスワードは、入力したサービス
【2020年新版】Excel パスワードを解除する裏ワザ
エクセル ファイルにパスワードを設定するのは便利ですが、パスワードを解除したい場合も時には出てきます。また、担当者が変わってパスワードがわからなくなったり、忘れてしまったりすることもありますので、パスワードがわからないと対処に困るかもしれませんが、実はパスワードがなくても簡単な手順で設定を解除できます。この記事では、エクセル パスワードの一般的な解除方法とパスワードがわからない場合の対処法を説明します。 Excel ファイルのパスワードを解除する一般的な方法 パスワードがなくてもExcel ファイルのパスワードを解除する裏ワザ Excel ファイルのパスワードを解除する一般的な方法 Excel ファイルに設定されているパスワードを解除するにはどうすればよいですか。それに、Excel パスワードには開くパスワード、読み取り専用パスワード、書き込みパスワードなど様々な種類のパスワードがあります
ドコモ口座経由の不正引き出しの背景に「進化したリスト型攻撃」 (1/2)
NTTドコモの電子決済サービス「ドコモ口座」を通じて、同サービスと連携する複数の銀行から不正引き出しが行われた問題は、メディアで大々的に報じられ、多くの人に不安を抱かせた。そして、個々のサービス設計や不正アクセス監視体制の不備が指摘され、二要素認証の導入をはじめとする対策の必要性が叫ばれている。 ただ、より根本的な対策を考えるならばもう一歩引いて、組織化が進むサイバー攻撃全体の動向を俯瞰する必要があるのではないか――。アカマイ・テクノロジーズは2020年10月9日に開催した記者向け説明会「金融、決済サービスを狙う不正事件の考察と最新のセキュリティ攻撃手法の解説」において、そのような問題提起を行った。 分業化と専門化が進むダークウェブ、「進化したリスト型攻撃」の全貌 一般的な企業において、ビジネスの下流から上流まですべてを一社で完結させられるケースはまれだ。製造プロセスがサプライチェーンに依
Windows 10ミニTips(542) Edgeの「パスワードが漏洩していることが検出されました」とは?
Microsoft Edgeは、ECサイトなどで入力するID/パスワード=資格情報を記憶するパスワードマネージャーを備えているが、同時にMicrosoft EdgeにMSA(Microsoftアカウント)やAAD(Azure Active Directory)アカウントでサインインしている場合、パスワードモニターが使用できる。 パスワードモニターは保存した資格情報をMicrosoftのサーバーに送信し、いわゆる“ダークWeb”にあるID・パスワード情報と比較して一致していた場合に、ユーザーに通知。パスワードの変更などをうながす機能。現時点では、開発版チャネルのうちDev / Canaryチャネルで提供されているようだ。 Microsoft Edgeのパスワードモニターによる通知 突然、「パスワードが漏洩していることが検出されました」などというアラートが現れると驚く方も少なくないと思う。パス
変わって久しいパスワードの常識、あなたは知っていますか
本特集は日経パソコン2018年5月14日号の特集「ネット犯罪の最新手口2018 悪質な攻撃から身を守る!」を基に再構成したものです。全5回の特集記事として掲載します。 パスワードの定期的な変更は“常識”? 「パスワード破りを防ぐには、大文字と小文字、数字、記号を全て組み合わせて可能な限り複雑なパスワードにすること」「定期的に変更すること」――。従来はこれらが常識とされてきた。米国立標準技術研究所(NIST)が2006年に発行した電子認証に関するガイドラインである「SP800-63」にも沿った考え方だ。 ところがNISTは、2017年に公開した改訂版「SP800-63-3」で方針を180度転換。「パスワードの長さは最小8文字。異なる文字種の組み合わせは課すべきではない」「定期的な変更の強制は推奨しない。変更はパスワード流出時のみ」となった。 例えば、異なる文字種の組み合わせや定期的な変更を強
パスワードってどこにあるの?その1 | MBSD Blog
筆者はペネトレーションテストなどを担当しており、お客様が利用されているシステムや端末などにセキュリティ上の問題があるか調査します。業務の中でよくWindowsに認証情報などが残存していないかくまなく調べますが、特定の条件を除き、利用されているアカウントの生のパスワードはWindows上には保存されていません。では、Windowsはどうやって認証情報をチェックするのでしょうか。Windows内部やActive Directoryでのパスワードの管理などについて、2回にわけてご紹介したいと思います。今回は、Windows内部でパスワードはどのように保存されており、どのように認証が行われているかご紹介したいと思います。 Windowsはアカウント名とパスワードによる認証以外にもバージョンによってスマートカードなどの多要素認証もサポートしています。また、アカウント名とパスワードによる認証もActi
Windowsでのパスワードを完全撤廃し、Active Directoryも抹殺した | ロードバランスすだちくん
シンジです。社内インフラを見直してみると、Active Directoryの闇に加えて、パスワードポリシーを含むGPOの地獄に絶望する管理者は多いと思います。シングルサインオンの技術を使って、なるべくシンプルにそして簡素化しつつもセキュアな構成にしようと試みます。今回はそれら全てをすっ飛ばして、そもそもActive Directoryを使わずに、Windows端末のパスワードも抹殺して、シングルサインオンを実現したというお話です。 概要 通常だとユーザーが利用するパスワードは、基本的には端末のローカルに存在するか、Active Directoryなどのディレクトリサービスに保管されてて、それらを利用します。最近だとDirectory as a Serviceと言われるものを利用して、SaaSを利用するケースもあります。ちなみに有名どころはJumpCloudです。これほんと便利。でもエージェ
PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ
PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ:今さら聞けない「認証」のハナシ(1/4 ページ) ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証サービスを提供する認証セキュリティ専門
宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓
大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表したオージス総研は、「現在も原因の調査を続けているが、依然として復旧のメドは立っていない」と説明する。専門家はWebサービスの提供者にとって対岸の火事ではないと警鐘を鳴らしている。 サービス開始20年目を襲った漏洩事件 宅ふぁいる便の歴史は古い。もともと大阪ガスグループのエルネット(大阪市)が1999年に提供を始めた。2014年に大阪ガスはエルネットの会社分割を決め、宅ふぁいる便事業は旧エルネットが商号変更した大阪ガス行動観察研究所が引き継いだ。2015年にオージス総研が大阪ガス行動観察研究所を吸収合併し、宅ふぁいる便のサービスを提供してき
おすすめのパスワード管理ソフトは? | Bizコンパス -ITによるビジネス課題解決事例満載!
今知っておきたいITセキュリティスキルワンランクアップ講座第8回 おすすめのパスワード管理ソフトは? 著者 北河 拓士 セキュリティ強化・リスク管理 セキュリティ対策 セキュリティ強化 IoTセキュリティ パスワード管理ソフトは、複数のサービスの認証情報(ID・パスワード)を暗号化されたデータベースに記憶して一元管理するソフトです。 パスワード管理ソフトには安全なパスワードを生成する機能があり、生成したランダムなパスワードを本人に代わり記憶します。本人が覚える必要のあるパスワードは、マスターパスワードのただ1つのみです。サービスへのログイン時には、記憶させたID・パスワードが自動入力されます。また、デスクトップPCやノートPC、スマホ、タブレットなど複数のデバイスを使用している場合でも、それぞれのデバイスにデータを同期して使えます。 本連載では、Webサイトへの不正ログインの対策として、2
2019年1月のデータリーク「Collection #1」をまとめてみた - piyolog
2019年1月17日、オーストラリアのセキュリティ研究者 Troy Hunt氏は大規模なデータリーク「Collection #1」が公開されていると連絡を受け、このデータの解析結果を報告しました。ここでは関連する情報を簡単にまとめます。 関連タイムライン 日時 出来事 2018年10月頃 Alex Holden氏(Hold Security CTO)がデータセットの存在をアンダーグラウンドフォーラムで確認。 2018年11月頃 Sanixer氏がクラウドストレージ(Mega)にCollection #1〜5等をアップロード。 2018年12月頃 Sanixer氏がハッキングフォーラムにデータ販売の書き込み。 2019年1月7日 ハッキングフォーラムにデータセット「Collection #1」の存在が投稿される。 2019年1月7日の週 複数人がTroy Hunt氏に「Collection
スクープ パスワード16億件の流出を確認:日経ビジネスオンライン
ソニーグループ1万7695件、東芝グループ1万635件、トヨタ自動車グループ8194件……。 日本を代表する企業で働く社員の情報が、大量に流出していることが日経ビジネスの取材で明らかになった。確認したのは、メールアドレスとパスワードの組み合わせを記したリストだ。 もともとは利用者が限られる闇サイトで売られていたが、現在は誰でもアクセスできるサイトを通じて無料でダウンロード可能な状態にある。リストに記されている組み合わせの総数は、16億件に達する。 本誌は複数の専門家と共同でデータを分析した。中にはもう使われていないアドレスも一定程度含まれているようだが、日本の大手製造業を抽出したところ、最も多かったのがソニーグループだった。 ソニー情報セキュリティ部のジェリー・ホフ・ゼネラルマネジャーにこの事実を告げると、流出を正式に確認したわけではないと前置きした上で、「一度外に流れた情報は回収が不可能
高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス
【お客さま各位】 Bizコンパスメディアは2021年9月30日(木)をもちましてサービスを終了致しました。 今後、コンテンツを刷新した新サイトにリニューアルオープン予定です。(10月中旬以降) Bizコンパス メールマガジンをお送りしている皆さまにはリニューアル時にご案内いたしますので新メディアをぜひご期待ください。
もう、「パスワードを覚える」のは諦めませんか?
パスワードにまつわる事故は、収まる気配がありません。2017年10月、米Yahoo!のほぼ全てのアカウント数に相当する、30億のアカウント情報が漏えいしていたことが明らかになりました。 30億件というと大変センセーショナルな数字ですが、これはあくまで2013年8月に起きた情報漏えい事故における過去の調査結果であること、現時点では日本のYahoo!とは無関係であることは頭に入れておいてください。 ただし、日本人に全く関係ないかというとそうでもなく、写真共有サービスとして優れていた「Flickr」を日本から使うために米Yahoo!アカウントを作った人も多いはず。今回の事件だけでなく、多くのサービスが情報漏えいを起こしていることを考えると、もはやパスワードは“漏えいする前提”で考えるべき時代になったのかもしれません。 「使い回しをやめよう」といわれても…… “パスワードが漏えいする前提”で被害を
【セキュリティ ニュース】攻撃者がメール転送設定を変更、受信した個人情報が外部に - 立命館大(1ページ目 / 全1ページ):Security NEXT
立命館大学が主催する国際研修の応募者に関する個人情報が外部に流出した。フィッシングメールによりアカウント情報が奪われ、受信メールが外部に転送されるよう設定が変更されたという。 歴史都市防災研究所が主催する2018年ユネスコチェア国際研修「文化遺産と危機管理」に、海外から応募した264人分の個人情報が外部へ流出したもの。氏名や所属組織の住所、電話番号、生年月日、性別、現職、学歴、職務経験、国籍などが含まれる。 同大によれば、研修への申し込みを受け付けるために用意したメールアカウントにおいて、4月24日に「未読メールが13通残っている」などと記載されたマイクロソフトの通知を装うフィッシングメールを受信。 同研究所の職員が誤ってメールに記載されたURLへアクセスし、誘導先の「Office365」を装ったページよりアカウント情報を入力してしまったという。 攻撃者は奪ったアカウント情報でログインし、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
