【特集】 パスワード管理アプリのおすすめ4選+α。無償で使えるBitwardenなどを紹介
社内認証パスワードレス化のすゝめ
パスワードレスとは 「パスワードレス」とは言葉通り「パスワードが要らない」という意味です。パスワードにはたいてい「英数字・記号を含む8文字以上の複雑な文字列にしてください」「一年ごとに変更をしてください」といった煩わしい制約が存在します。利用者にしてみれば毎回違うパスワードを考えたり覚えたりするのは負担ですし、結局簡単なものや同じようなパスワードを使いまわしがちになり、管理者としても望んだ結果ではないという問題があります。パスワードレスはそういった煩わしさから利用者・管理者双方を解放します。 ヤフーの社内認証事情 ヤフーには一万人を超える社員が在籍しており、毎日一回以上認証の機会があります。 社員が社内ツールにアクセスすると、まずはじめに共通の入口である内製の社内認証基盤へとリダイレクトされます。そこで社員は実際のログイン手段として以下の三種類の認証方式から選択します(図1)。 社内ID/
Microsoft Azure、パスワードレス認証の一般公開を発表
数年前から「パスワードレス」への取り組みを進めてきたMicrosoftが一つのマイルストーンに到達したと発表した。Microsoft Azureにおけるパスワードレス認証の一般公開だ。気になるその中身は。 さまざまなサービスがオンライン化する現在においても、セキュリティの要はパスワードであり続けている。多くのユーザーに広く使われているシンプルで弱いパスワードが毎日のようにサイバー攻撃の標的になっている。同じパスワードを複数のサービスで使いまわすユーザーもいる中、セキュリティベンダーやセキュリティ機関は繰り返しパスワードの重要性を説明するとともに、ユーザーに対して強いパスワードの使用やパスワードの使い回しの禁止、パスワード管理ツールなどの活用を呼びかけているが、状況は期待されているようには改善していないというのが現実だ。 業界はこうした現状にただ手をこまねいているわけではない。Microso
マイクロソフト、パスワード不要のログインを「Azure AD」の標準機能に
Microsoftがクラウドコンピューティングプラットフォーム「Azure」を利用して、多くのユーザーがパスワード入力なしでログインできるようにしようとしている。 Microsoftは米国時間3月2日に開幕した「Ignite」カンファレンスの中で、「Azure Active Directory(Azure AD)」の標準機能としてパスワードレス認証を提供すると発表した。Azure Active Directoryは、従業員のログインに関連する処理に使用できるクラウドベースのサービスだ。Igniteは、Microsoftの製品を使用するITなどの技術担当者を対象とした3日間にわたるカンファレンスで、2021年は新型コロナウイルスの影響でオンライン開催となっている。 これとは別に、Microsoftは困難が伴う可能性のあるパスワードレス化への移行を円滑化するための新技術として「Temporar
【SSS】将来を考えたパスワード管理ソフト・アプリの選択
結論からいうと、KeePass Password Safe(キーパスパスワードセーフ)がオススメだ。 と思ったらbitwarden(ビットウォーデン)なるものが登場しており、新規で始めるならbitwardenになった。だいぶ状況が変わってしまったので2つとも紹介する。 bitwardenが登場してしまったことにより、有名な1PasswordとLastPassの選択肢はなくなった(理由は後述)。 利便性とセキュリティを兼ね備えた「新興勢力bitwarden」か、「圧倒的セキュリティだが導入のしづらさも圧倒的なKeePass」の魅力に迫っていきたい。 ちなみに、bitwardenの自動入力はこんな感じ。
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた
「Pマーク取得に必要だから」は都市伝説? “PPAP”をめぐる謎を、名付け親に聞いた:パスワード付ZIPメール(1/3 ページ) 11月、平井卓也デジタル改革担当相が、中央省庁でのパスワード付きZIPファイルの使用を廃止する方針を打ち出しました。これを機に、パスワード付きZIPファイルをメールに添付して送り、その直後にやはりメールで解凍のためのパスワードを送る「PPAP」──すなわち「Password付きZIPファイルを送ります、Passwordを送ります、An号化(暗号化)、Protocol」と呼ばれる方式に反発する声があちこちで沸き起こっています。 PPAPは多くの企業で「プライバシーマークの取得やISMS認証に必要だから」といった理由から横行してきた、といわれています。しかし後述する通り、この理由には明確な根拠が見つかりません。その上、セキュリティの効果はあまりないにもかかわらず、メ
No153 強いパスワードの作り方2020|えがおIT研究所
今回はサービス毎に違うパスワードの作り方を解説します。 パスワードの使いまわしがダメな理由を前々回に書きました。 また、どんなパスワードが強いパスワードなのか?ということは 前回書きました。 またパスワードを自力で考えるのがツラい方には(有償の)パス ワード管理ソフトの活用も一考に値することも前回書いたとおり です。 今回は自力で強いパスワードを作る方法について解説します。 2021年4月27日追記 この記事は2020年の記事です。 2021年のアップデート版を公開済みですので、是非ご覧ください。 ・No205 サービスごとにパスワードを変える方法 目次1. ランダムなパスワードを推奨、は過去の話 2. 覚えやすさ主体のパスワードが推奨 3. 単語をつないだだけで強いパスワード?ホント? 4. サービス毎に違うパスワードを使っても忘れない方法 5. それでも覚えられなければアンチョコを作ろ
Zipファイルのクラック
メールでZipファイルを送って次のメールでパスワードを送るという無意味より悪いセキュリティ対策が問題になっている。なぜ無意味より悪いかというと,Zip暗号化は強度が十分でない上に,次のメールで送るパスワードは無意味で,さらにゲートウェイでのウイルス対策ができなくなるのでウイルス送付に利用されやすいためである。 PythonでZipファイルを展開する方法は文字コードのところに書いたが,同様にしてパスワードをブルートフォースで破ることも原理的には可能である。6桁数字のパスワードで暗号化した test.zip をクラックするには次のようにすればよいであろう: from zipfile import ZipFile with ZipFile('test.zip') as z: for i in range(1000000): pw = f'{i:06d}' try: z.setpassword(p
パスワード解析などに使われる「レインボーテーブル」の仕組みとは?
パスワードやアクセスキーなどの重要なデータは「ハッシュ関数」で一方向の変換を行うことで、漏えいの被害を最小限に抑えることができます。しかし、パスワードとハッシュ値の組み合わせを記録したレインボーテーブルによって、ハッシュ値からパスワードを解析される攻撃を受ける危険性もあります。そんなレインボーテーブルの仕組みについて、ソフトウェアエンジニアのKestas "Chris" Kuliukas氏が図解しています。 How Rainbow Tables work http://kestas.kuliukas.com/RainbowTables/ ハッシュ関数は文字列を別の文字列に変換することができる関数で、変換前の文字列から変換後の文字列を計算することはできますが、変換後の文字列から変換前の文字列を計算することはできません。変換前の文字列は「平文(Plaintexts)」、変換後の文字列は「ハッシ
暗号化メール、内閣府など廃止 平井デジタル相「対策不適切」
平井卓也デジタル改革担当相は24日の閣議後会見で、省庁職員がメールにファイルを添付して送信する際に、暗号化した上でパスワードを別のメールで送る「自動暗号化ZIPファイル」を26日に内閣府と内閣官房で廃止すると明らかにした。パスワードが記載されたメールを同じ経路で送ることを問題視し「セキュリティー対策としても、受け取る側の利便性の観点からも適切でない」と説明した。 デジタル政策へのアイデアを募る「デジタル改革アイデアボックス」に多くの意見が寄せられ、対応を検討していた。 代替策は決まっておらず、民間企業の動きも参考にしながら望ましいセキュリティー向上策を検討するという。暫定的な対策として「(パスワードを)電話で教える」と例示した。他省庁の状況も実態調査を進める。
「パスワード付き添付ファイル」が無意味どころか社会の害になる理由
早稲田大学理工学部を卒業後、日本DECに就職。営業サポート、ソフトウェア開発、研究開発に従事し、1997年からはMicrosoftでWindows製品の開発に携わる。2006年以降は、GoogleにてWeb検索のプロダクトマネジメントやChromeのエンジニアリングマネジメントなどを行う。2015年11月、技術情報共有サービス『Qiita』などを運営するIncrementsに転職。17年6月より独立し、プロダクト戦略やエンジニアリングマネジメントなどの領域で企業の支援を行う。17年9月、ヘッドハンティング・人材紹介を展開するクライス&カンパニーの顧問に就任。2019年1月、テクノロジーにより企業や社会の変革を支援するTably株式会社を設立。「プロダクトマネージャーのキャリア戦略」 及川卓也のプロダクト視点 アマゾン、アップルといった米国企業や中国企業からの遅れが目立ち始めた日本企業。かつ
)
PPAP (セキュリティ) - Wikipedia
「Password付きZIPファイルを送ります、Passwordを送ります、Angoka(暗号化)Protocol(プロトコル)」の略号である[1]。 日本情報経済社会推進協会に所属していた大泰司章(おおたいし あきら)(現・PPAP総研)が問題提起し命名した[2]。ピコ太郎の『PPAP』(ペンパイナッポーアッポーペン)の響きが「プロトコルっぽい」と言う人がいたことから大泰司が命名のヒントを得た[3]。PPAPという用語は『日本情報経済社会推進協会』の発行する文書にも使われている[4]。 PPAPによるファイルの送受信は、次のような段階によって行われる。 送信者は、ファイルをパスワード付きzipファイルで暗号化し、メールに添付して送信する。 送信者は、1.で送信した添付ファイルのパスワードを、別途メールにて送信する。 受信者は、送信者から受け取った添付ファイルとパスワードによってファイルを
Ansibleでhttp経由のgit cloneをさせる方法 - NIFTY engineering
こんにちは。引き続きOJT中の増田(ますた)です。 今回は、Ansibleでhttp経由のgit cloneをさせて各サーバに資産配布をする方法を紹介します。 Ansibleとは、chefなどと同じOSSの構成管理ツールです。設定ファイルはYAMLで書きますし、プラグインも豊富なので誰でも簡単にサーバの構築を自動化することが可能です。資産の配布の方法は様々あると思いますが、今回はgitから資産配布をする方法を書いていきます。 普通gitをhttp,httpsで経由する場合、ユーザ名とパスワードを毎回聞かれます。ですので、Ansibleでそのまま実行をしようとするとエラーが発生します。それを回避するための方法を書いていきます。 今回やりたいことのイメージ図 実際にやってみた 方法としてはgit-credentialやnetrcを利用する方法もありますが、これらをAnsibleで使用するなら、
まぐね on Twitter: "流出した4桁パスワードの前二桁を横軸、後二桁を縦軸にした図でちょっと解説書き込み。色が濃いところほどパスワードである確率が指数関数的に高い。 ぱっと見だけで「誕生日の正方形」「西暦年の黒ヒゲ」「繰り返し対角線」「1234濃点」「4… https://t.co/nlWEKWxqC5"
流出した4桁パスワードの前二桁を横軸、後二桁を縦軸にした図でちょっと解説書き込み。色が濃いところほどパスワードである確率が指数関数的に高い。 ぱっと見だけで「誕生日の正方形」「西暦年の黒ヒゲ」「繰り返し対角線」「1234濃点」「4… https://t.co/nlWEKWxqC5
fixedsoda on Twitter: "暗証番号分布。まず目につくのは xxyy 系。さすがに xxxx は簡単すぎると思うのか意外と薄い。6969 がなぜか大きい。ちょっとずれてるところに濃い点があるけどなんだろ、とおもったら5150。これヴァン・ヘイレンだろ。 https://t.co/Ks96Tece7W"
暗証番号分布。まず目につくのは xxyy 系。さすがに xxxx は簡単すぎると思うのか意外と薄い。6969 がなぜか大きい。ちょっとずれてるところに濃い点があるけどなんだろ、とおもったら5150。これヴァン・ヘイレンだろ。 https://t.co/Ks96Tece7W
無料で複数人のパスワード管理を自サーバー上でホストできる「Passbolt」、オープンソースで1PasswordやKeePassのデータインポートも可能
パスワードを管理するソフトウェアには1PasswordやKeePassなどがありますが、自分でサービスをホストでき、かつグループ内でパスワードを共有できるようなソフトウェアはなかなかありません。基本無料のオープンソースソフトウェア「Passbolt」と使うと、チームでのパスワード管理サービスを自分で用意したサーバー上で稼働させることができます。 Passbolt | Open source password manager for teams https://www.passbolt.com/ Passbolt · GitHub https://github.com/passbolt まずはPassboltをダウンロードするため、トップページにアクセス。「Get passbolt」をクリックします。 Passboltには自分でサーバーを用意してホストする「Passbolt PRO」とクラウ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Microsoft Authenticatorにパスワード管理機能が追加。EdgeやChromeとの同期もサポート
The Best Password Managers
AgileBits、パスワード管理サービス“1Password”のLinuxクライアントをベータ公開/「Rust」言語で構築。フル機能に加え、Linux版ならではの心配りも
超入門:ウェブサイトのパスワード保護~ウェブサイトのパスワード管理に対する誤解~
