https://jp.techcrunch.com/2015/05/14/20150513gmails-new-login-screens-hints-at-a-future-beyond-passwords/
パスワードマスクの切り替え機能について考える
徳丸浩さんのブログ記事 COOKPADの「伏せ字にせず入力」ボタンは素晴らしい(blog.tokumaru.org) について。 通常、パスワードの入力欄はコントロール形式(type属性)が password で実装されており、ほとんどのブラウザは入力した値を ● や * などの文字に置換してレンダリングします。これはショルダーハッキング(覗き見)を防ぐためと言われていますが、一方で ひらがなや漢字が入力できず(別の場所からコピペすれば一応入力できますが)、使える文字種が制限される 入力している内容が分からず入力ミスしやすい といった理由から、長い文字列や特殊な記号を織り交ぜるなど安全なパスワードを設定しにくいという問題があり、必ずしもマスクすることが最善というわけでもなさそうです。 徳丸さんも著書体系的に学ぶ 安全なWebアプリケーションの作り方の中で利用者は簡単な(危険な)パスワードを
「強い」と判定されたパスワードが実は脆弱な場合も | readwrite.jp
あなたがもしパスワード強度メーターを信頼してパスワード強度を判定しているとしたら、悪いニュースをいくつかお知らせしなければならない。コンコルディア大学の研究者らによる新たな研究によると、こういったパスワード強度判定にはかなり矛盾があり、ユーザーに悪影響をおよぼす恐れもあることが分かった。 われわれが行った大規模な実証分析によると、一般に使われている強度メーターにはかなり矛盾があり、首尾一貫したフィードバックを得ることはできませんでした。中には明らかに誤解を招くような強度判定を行う場合もあることが分かりました。 研究者のグザヴィエ・ド・カルネ・ド・カルナヴァレとモハメッド・マナンは、利用者の多いウェブサイトやパスワードマネージャーを選び、パスワード強度メーターを調査した。調査の対象となったウェブサイトには、アップル、Dropbox、Drupal、グーグル、eBay、マイクロソフト、PayPa
ブラウザのパスワード保存と自動フィルイン - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、開発部の渡辺です。 「最近、パスワードインプットのautocomplete属性周りが盛り上がってるよ、ちょっと調べてよ」という話を頂いたので、現時点での各ブラウザの挙動をさっくりと調べて結果を記します。 背景 6月にリリースされたFirefox 30の対応によって、ほとんどのモダンブラウザではautocomplete=offにしてもパスワードマネージャへの保存を禁止することはできなくなりました1。 しかし、保存されたパスワードがインプットにフィルインされる挙動はブラウザごとに微妙に異なります。すでに幾つかの記事2で言及されている内容ではありますが(二番煎じ感に溢れててごめんなさい)、複数のブラウザで動作を確認する中で、様々な条件があったので、それらをまとめてみようと思います。 調査内容 今回調べる具体的な内容は、「ブラウザに保存されたパスワードが自動フィルインされる条件」です。
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
安全なウェブサイトの作り方改訂第7版の変更点と変わらない点
IPAの安全なウェブサイトの作り方 改訂第7版が公開されました。 このエントリでは、安全なウェブサイトの作り方の元々もつ特徴(変わらない点)と、第7版の変更のポイントについて説明します。 なお、私は安全なウェブサイトの作り方の執筆者の一人ではありますが、以下の記述は私個人の意見であり、IPAを代表するものではありませんので、あらかじめご承知おきください。 安全なウェブサイトの作り方の変わらぬ特徴 安全なウェブサイトの作り方の特徴は、「まえがき」の中で述べられています。 本書は、IPAが届出を受けたソフトウェア製品およびウェブアプリケーションの脆弱性関連情報に基づいて、特にウェブサイトやウェブアプリケーションについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根本的な解決策と、保険的な対策を示しています。 すなわち、以下の2点がポイントと考えます。 脆弱性の選定
websec-room.com - websec room リソースおよび情報
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
企業やチーム内でのクソなパスワード管理から脱却するMeldiumのすすめ - トランスリミット創業記.author = 高場大樹
今回は、私自身がずっと課題に感じていた「企業やチームでのパスワード管理」について。 前職で全社の情報システム部に所属していたことがあるので、以前から企業セキュリティにはかなり興味があるのですが、大企業では、セキュリティがガチガチで利便性が無い。逆にスタートアップは、セキュリティ?みたいな感じが非常に多いと思います。大抵の場合「セキュリティねえ、わかるよ、わかるけど面倒だよね」みたいな考えを持っている人が多く、あまり積極的では無いような気がします。一度失敗した経験が無いとあまり身近に感じないのではないでしょうか。 セキュリティ対策というとやることはたくさんあるけど、どの企業も抜けているんではないかと課題視していたのが、チームでのパスワード管理。自分自身もリスクあるなあと思いながら暗中模索していたんですが、ようやくそんな悩みを解決できるMeldiumというサービスを見つけてしまいました。しかも
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
パスワードを平文で送ってくるっぽいサイトまとめ
パスワードを平文で送ってくるっぽいサイトまとめ パスワードを平文で送ってくるっぽいサイトをまとめています。サイトと関連ツイートを参照できます。
hackify·ローカルファイルを公開してみんなでコーディング MOONGIFT
みんなで楽しくハッキング! プログラミングは一人でやっても楽しいけれど、みんなでやればもっと面白いですよね。周囲に人がいなくても大丈夫、ネットワークが繋がっていればどこでも誰とでもプログラミングが楽しめます。 そんな環境を提供するのがhackifyです。 インストールはnpmを使って簡単にできます。 $ npm install hackify -g 終わったら開発しているプログラムのディレクトリに移動して hackifyを実行します。 $ hackify Creating a hackify room with: room link: http://www.hackify.org/rooms/521419 moderator password: 123775 ignoring folders matching: /(node_modules|.git)/ connected to serv
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
パスワード問合せシステムを作る (clojureのreducers) - Qiita
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
Geb - Very Groovy Browser Automation
What is it? Geb is a browser automation solution. It brings together the power of WebDriver, the elegance of jQuery content selection, the robustness of Page Object modelling and the expressiveness of the Groovy language. It can be used for scripting, scraping and general automation — or equally as a functional/web/acceptance testing solution via integration with testing frameworks such as Spock,
スクリプトで一発簡単!iPhone/Android/Mac/Windowsから接続可能なL2TP/IPSecなVPN環境を構築する
スクリプトで一発簡単!iPhone/Android/Mac/Windowsから接続可能なL2TP/IPSecなVPN環境を構築する 2014/01/06 技術ネタ CentOS, L2TP/IPSec, VPN L2TP/IPSecサーバ構築の忘備録 喫茶店や街角の無料WiFiが信用出来ない時や海外での接続時など、 「悪い人が沢山いるインターネッツ怖い!」「今すぐVPNが使いたい!」 って時。意外とあると思います。 自分自身何度かそんな目にあった結果、何も考えずにコマンド一発でL2TP/IPSecなクライアントVPN環境を構築するスクリプトを紹介します。 (画像はイメージですが、オフィス内や自宅内に構築する事で、オフィスや自宅に安心して接続出来る環境を作る事もできます。) 最後に一応スクリプトの解説も載せておきます。 出先からの使い捨て用VPNではなく、長期で利用を検討している人は一部設定
さくらのVPSに来る悪い人を観察する その2
1. さくらのVPSに来る悪い人 を観察する その2 Security Casual Talks すみだセキュリティ勉強会その2 2013/12/07 @ozuma5119 2013-11-18 20:12:18 login attempt [root/12345] failed 2013-11-18 20:12:21 login attempt [root/1qazxsw23edc] failed 2013-11-18 20:12:25 login attempt [root/Passw0rd] failed 2013-11-18 20:12:28 login attempt [root/password0] failed 2013-11-18 20:12:32 login attempt [root/password1] failed 176.223.62.254 - - [23/No
まだまだ続く不正ログイン事件 - セキュリティは楽しいかね? Part 2
4月に「複数の会員サイトへの不正ログイン事件が発生」という記事を書いたのだが、その後も多くのサイトで不正ログイン事件が起きている。前回紹介したものも含め、3月から7月にかけて発生した事例についてまとめておく。 まとめ 対象 期間 試行回数 不正ログイン件数 (*1) 成功率 (*2) 影響範囲 WebMoney 8/28 - 8/29 - 1,261 - 顧客情報の閲覧 ポイントタウン 8/20 - 8/22 - 6,765 - 顧客情報の閲覧はなし ヤプログ! 8/20, 8/24, 8/27 - 5,755 - 顧客情報の閲覧 @games 8/3 - 8/13 - 83,961 - 顧客情報の閲覧 Ameba 4/6 - 8/3 - 243,266 - 顧客情報の閲覧 GREE 7/25 - 8/5 - 39,590 - 顧客情報の閲覧 Tサイト 7/25 - 7/26 - 27 -
Google Apps Script でパスワード管理ツール作りました - WebOS Goodies
WebOS Goodies へようこそ! WebOS はインターネットの未来形。あらゆる Web サイトが繋がり、共有し、協力して創り上げる、ひとつの巨大な情報システムです。そこでは、あらゆる情報がネットワーク上に蓄積され、我々はいつでも、どこからでも、多彩なデバイスを使ってそれらにアクセスできます。 WebOS Goodies は、さまざまな情報提供やツール開発を通して、そんな世界の実現に少しでも貢献するべく活動していきます。 皆さん、 Web サービスなどのアカウント情報(パスワード)の管理はどうしているでしょうか。よく使うパスワードは出先でも確認できるようにしたい反面、アクセスが手軽すぎると万が一の漏洩が心配です。 1Password 等の便利なサービスもありますが、パスワードの管理を完全に他人任せにするのもちょっと不安。 ここはやはり自分なりの管理ツールを作ろうと思いたち、年末の空
意外に知らないお金借りるならとお金借りる審査通らない理由の秘密を、1つだけ教えます。
わかった!お金借りるならでお金借りる審査通らない理由… わけもなく嫌な気持ちになってしまう人が存在します。 出来が寄ってきたらムカムカして、お金借りる審査通らない理由なので、マトモに対応すらできず、お金借りる審査通らない理由に冷たい対応をしてしまいます。お金借りるならに冷静になり、悔やむものの、以降だったら、嫌だということで頭がいっぱいになってしまいます。 少額融資の多様さからいえば、好きになれない人がいるのも当たり前なのでしょう。 お金借りるならを好きになるのは無理難題といっても過言ではなく、急変をなくしてしまえないので、困っています。 お金借りる審査通らない理由に考えるのであれば、客観的にはそんなに悪い人でもありませんから、お金借りる審査通らない理由に限り、私はおかしいと思います。たまたまテレビ中継などを目にすると、入出金可能への参加を目指す人があまりにも多くてちょっと呆れてしまいそう
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
The easiest way to save and share passwords securely