タグ

passwordに関するkoyhogeのブックマーク (12)

  • ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?

    by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB

    ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
    koyhoge
    koyhoge 2019/03/05
    台湾の注音入力が一見ランダムぽい文字列を生み出してる。面白い。
  • 日本語のパスワードジェネレータを作ってみた - hnwの日記

    Webサービスを使っていると、たまに「秘密の質問」の設定を求められることがあります。 こういう場合、個人的にはランダム文字列を登録したいと思うのですが、次のようにマルチバイト文字しか登録できないことが多い気がします。 普通のパスワードジェネレータではマルチバイト文字のパスワード生成ができないので、このような用途には使えません。そこで、ランダムなマルチバイト文字列を生成するサービス「 秘密の答えジェネレータ」を作ってみました。 自分でも実用しており、既に5サービスに設定しましたが、非常に便利だと感じます。 稿ではこのサービスの技術面の詳細について紹介します。 「秘密の答えジェネレータ」の構成要素 「秘密の答えジェネレータ」はHTML+JavaScriptだけで実現されており、GitHub Pagesでホストしています。また、独自ドメインのDNSおよびSSL化はCloudFlareで行ってい

    日本語のパスワードジェネレータを作ってみた - hnwの日記
    koyhoge
    koyhoge 2018/05/02
    秘密の質問が必須というサービスもそろそろ滅んで欲しいw
  • パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞

    定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述

    パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
    koyhoge
    koyhoge 2018/03/26
    PCIDSSの「少なくとも90日毎に変更」はどうするのかな。変わらないのかな。
  • Linuxを使ってWindowsのパスワードをリセットする方法

    Opensource.comは3月16日(米国時間)、「How to reset a Windows password with Linux|Opensource.com」において、ユーティリティ「chntpw」を使ってWindows 10のパスワードを変更する方法を紹介した。Windowsのパスワードを忘れてしまった場合などに、レスキューツールとして利用できる。 記事では、Windows 10がインストールされたPCを、Fedora 27のLive USBから起動し、そこからchntpwコマンドを実行してパスワードを変更するという手順を紹介している。Live USBで起動したFedora 27にchntpwユーティリティをインストール、WindowsパーティションをFedoraからマウントし、そこからchntpwユーティリティを使ってアカウント情報を変更している。 この方法を実行するには

    Linuxを使ってWindowsのパスワードをリセットする方法
    koyhoge
    koyhoge 2018/03/22
    chntpwユーティリティ。頼ることがないとは言えないかもなーw
  • 弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog

    平素よりGyazoならびにScrapboxをご利用いただきありがとうございます。この度、弊社CTO増井俊之(以下当人)のTwitterアカウントとGyazoアカウントが不正利用されているとのご指摘をユーザーのみなさまよりいただき、事実関係を調査いたしましたところ、不正利用の事実が判明いたしました。 アクセスログ等の確認ならびに当人への聞き取り調査により、当人がGyazoアカウントに他のWebサービスと同じパスワードを設定しており、このパスワードが漏れたために第三者に不正利用されたものと確認しております(いわゆるパスワードの使い回し)。また、当人がGyazoアカウントにTwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており、その画像を元にTwitterアカウントも不正利用されたことが、アクセスログ等の確認ならびに当人への聞き取り調査により判明しました。現在、当人にパ

    弊社役員のGyazoアカウントおよびTwitterアカウントへの不正アクセスに関するお詫びとご報告 - Gyazo Blog
    koyhoge
    koyhoge 2017/04/12
    増井さんほどの人でもやられるのだから、どれだけ対策しても過信は禁物ということか。「TwitterアカウントのIDとパスワードを含むスクリーンショットを保存しており」なんでも一箇所に集めちゃう増井さんらしいw
  • 安全なハッシュ関数とpassword_hash() - KUSANAGI Tech Column

    PHP 5.5.0から導入されたpassword_hash()関数について、エンジニアとしての視点から解説します。ハッシュ関数は、入力されたパスワードのデータを安全に保存するために用いられますが、その安全性は時代とともに変動します。SHA-1など昔は安全とされたハッシュ関数が現在では脆弱になり、新しいアルゴリズムへと更新されていく必要があります。password_hash()関数は、このような変化に対応するために作られ、アルゴリズムの変更に影響を受けずにユーザーデータを保護します。記事ではこの関数の仕組みを詳しく紹介します。 今回よりここで連載をさせていただくことになった小山 (koyhoge)です。フリーランスエンジニアをしておりまして、他にニフティクラウド mobile backend (NCMB) という mBaaS サービスのエバンジェリストもやっているので、それがきっかけでここ

    安全なハッシュ関数とpassword_hash() - KUSANAGI Tech Column
    koyhoge
    koyhoge 2017/03/27
    KUSANAGI MAGAGINEでコラムを書くことになりました。第1回目はPHPのpassword_hash関数について。 @tomzoh さんの発表にインスパイアされてできた記事ですw
  • 横浜市のマイナンバーシステム障害、待機系のパスワード変更漏れが原因

    横浜市は2016年12月21日、同市が住基ネット(住民基台帳ネットワークシステム)に接続するために運用している「コミュニケーションサーバー(CS)」で発生したシステム障害について、パスワードの変更ミスが原因だったと発表した。障害は12月7日の夜間メンテナンス時に発生。翌8日に市の窓口でCSを通じて処理するマイナンバーカード交付などの手続きができなくなる影響が出ていた(関連記事:マイナンバー関連システムで障害、横浜市で1208人にカード交付できず)。 住基ネットのCSは全国の市町村ごとに存在する。住基ネット全体を運営する地方公共団体情報システム機構(J-LIS)によれば、今回のシステム障害は横浜市単独のトラブルで、他の市町村に影響はないという。 横浜市住民情報システム課の説明によれば、同市はCSを「運用系CS」と「待機系CS」の2台で冗長化して運用している。J-LISの運用手引書に従い、C

    横浜市のマイナンバーシステム障害、待機系のパスワード変更漏れが原因
    koyhoge
    koyhoge 2016/12/22
    このパスワードとやらは人が毎回入力するものなの? システム内にあって自動で使われるのなら、それを手動で変更するとかどうかしてる。パスワード定期変更脳の弊害。
  • 【不正アクセス防止】Amazonからパスワードの変更のお知らせがきた

    更新:2018/11/20 日何やら心配になるメールがAmazonから届いた。 内容は「Eメールアドレス、パスワードの一覧をインターネット上で無作為に掲載しているページが見つかったから、念のためAmazonのアカウントのパスワードを変更したほうが良いよ」というもの。 メールの全文はこんな感じでした。 ***様 平素はAmazon.co.jpをご利用いただき、誠にありがとうございます。 ※ このメールには、お客様のアカウントについての重要な情報が含まれていますので、最後までよくお読みいただけますようお願い申し上げます。 Amazon.co.jpでは、当サイトのプライバシーポリシーに基づきお客様のアカウント保護、プライバシー保護に細心の注意を払い、システムの強化とモニターに日々取り組んでいます。 このたび行った定期モニターの結果、Eメールアドレス、パスワードの一覧をインターネット上で無作為に

    【不正アクセス防止】Amazonからパスワードの変更のお知らせがきた
    koyhoge
    koyhoge 2016/06/15
    アマゾンは流出公開されているアカウントリストをチェックして自社DBと突き合わせ、マッチしたユーザに通知を行っているらしい。すごいな。
  • 連邦取引委員会、「パスワードを定期的に変更する必要は無い」という内容のブログ記事を公開 | スラド セキュリティ

    米連邦取引委員会(FTC)が3月2日、「Time to rethink mandatory password changes」(強制的なパスワード変更を再考するとき」というブログ記事を公開した。 最近では人々が管理するパスワードの数が増えており、沢山のパスワードを覚え、さらにそれらを頻繁に変更しなければならないことに苛立っている人も多いという。記事の著者であるChief TechnologistのLorrie Cranor氏は、そういった人々からどれくらいの頻度でパスワードを変更すべきか尋ねられることも多いようだが、それに対しては「そんなに頻繁に変更しなくても良い」と答えているそうだ。 記事では、実際にパスワードを変更する必要があるタイミングとして、パスワードが盗まれた可能性がある場合としている。また、その場合にはそのパスワードやそれに似たパスワードを使っているすべてのサービスについて、パ

    koyhoge
    koyhoge 2016/03/07
    パスワード定期変更厨はそろそろいなくなって欲しいところ。
  • 強力なパスワードの作成は本当に意味があるか

    出典:ITpro 2014/11/06 (記事は執筆時の情報に基づいており、現在では異なる場合があります) 世界のセキュリティベンダーのブログから、興味深い話題をピックアップして紹介する。今回は、まず、パスワードに関するブログから。英ソフォスのブログで、これまでの常識を覆す内容が興味深い。 セキュリティ保護には長くて複雑なパスワードを選ぶことが重要だということは誰もが認める常識である。しかし相変わらず「12345」や「password」など、瞬時に破られてしまうパスワードを使っている人が多い。このため、一部のセキュリティ専門家はそういった人たちを説得する方法、あるいはそういった人たちに行動を改めさせる方法を考えるために膨大な時間を費やしている。 しかし、この常識に疑問をなげかける研究論文(PDF文書)が、米マイクロソフトの研究部門から発行された。 論文の著者であるマイクロソフト研究部門のD

    koyhoge
    koyhoge 2014/12/25
    オンラインのブルートフォースだと100万回のアタックに耐えられれば大丈夫という研究。英数字5文字に相当する。
  • パスワードの定期的な変更を勧める企業にその根拠を聞いてみた

    先日、とある企業からメールにて会員向けに「なりすましログイン」に関する注意喚起メールが届きました。 その中にパスワードを定期的に変更することが推奨されていたので、その根拠について質問し、先方の担当者とやりとりした結果を記録として残しておきます。長文の割にとくにオチはありません。 メール内容の引用は全文ではありません。文頭の挨拶文など、筋に関係ない部分は省略しています。 当該企業を晒し上げることが目的ではないため、サービス名、担当者名は伏せています。 まず最初に、会員向けに届いたメール(の一部)がこれです。 メールをお送りしているメールアドレスのIDでは、なりすましログインは確認されておりませんが、今後、会員情報が不正に利用されることを防ぐため、定期的なパスワードの変更をお勧めいたします。 ※なりすましログインが確認された方については、別途、弊社より個別にご連絡を差し上げております。 今

    パスワードの定期的な変更を勧める企業にその根拠を聞いてみた
    koyhoge
    koyhoge 2014/10/15
    安易に権威に頼らず自分の言葉で説明を試みようとする企業担当者には好感がもてるが、そもそも根拠はないのでちぐはぐな説明に。
  • パスワードの定期的変更について徳丸さんに聞いてみた(2)

    高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽減策として、パスワードの定期的変更に意味があるか、というテーマですね。 徳丸: はい。その事後の話ですが、2つの話題があります。まず、前回の続きで、パスワードハッシュ値が漏洩してオフライン攻撃で解読されるまでの時間稼ぎとして、パスワードの定期的変更に意味があるか、次に、パスワードそのものが漏れている場合の緩和策として、定期的変更に意味があるかです。 高橋: それでは、まずハッシュ値が漏洩しているケースについてお願いします。 徳丸: はい。まず、前提として「パスワードを3ヶ月毎に変

    パスワードの定期的変更について徳丸さんに聞いてみた(2)
    koyhoge
    koyhoge 2013/08/08
    これで完結編なのかな。サービス提供側から見ると、2段階認証、ログイン履歴などは現時点ではちょっと大変。
  • 1