「パスワードは複雑さより長さが大切」 FBIが指南
パスワードは複雑にする必要はない。ただ長くすればいい――。米連邦捜査局(FBI)のそんな勧告が話題になっている。根拠としているのは、米国立標準技術研究所(NIST)がまとめた最新版のガイドライン。破られにくく、かつ覚えやすい文字列を作り出すため、パスワードではなく「パスフレーズ」の使用を勧めている。 これまでパスワードといえば、アルファベットの大文字と小文字、数字や記号を使ってできるだけ複雑にするのが望ましいとされてきた。ところがNISTの勧告では、パスワードの複雑さよりも、長さの方が、ずっと大切だと説く。 そこで、長くてしかも覚えやすい文字列をつくりだす手段として提言しているのが、複数の単語を組み合わせたり文章をつなげたりするパスフレーズ。FBIは強いパスフレーズの一例として、「VoicesProtected2020WeAre」「DirectorMonthLearnTruck」などを挙げ
STOP!!パスワード使い回し!!キャンペーン2016
インターネット上のサービスを利用するにあたって必要なアカウント ID とパスワードが「認証情報」です。この認証情報を狙った攻撃が継続しており、認証情報が流出する事件が国内外で報道されています。 複数のインターネットサービスで、同じ認証情報を使い回すことにより、どれか1つのサービスから認証情報が流出した際に、他のサービスに不正にアクセスされ、不正送金などの金銭的被害に遭う恐れがあります。 【 パスワードを使い回している場合…… 】 こうした被害のリスクを減らすために、認証情報の使い回しや、単純なパスワードを設定しないように注意してください。また、インターネットサービスで提供されているセキュリティ機能を活用し、インターネットサービスを安全に利用しましょう。 ■ 認証情報の設定について 複数のインターネットサービスで同じパスワードを設定しないようにしましょう 推測されやすい単純なパスワードを避け
本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子
2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
![本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子](https://cdn-ak-scissors.b.st-hatena.com/image/square/807d51f8f5c93f9a7c74859fd3cd49086fe5b68f/height=288;version=1;width=512/https%3A%2F%2Fsecurity-portal.nisc.go.jp%2Fassets%2Fimages%2Fcybersecuritymonth%2Fscreenshot-index.png)
パスワードの最適変更間隔とその定量的効果の評価
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
ネット不正送金で企業に補償 全銀協が6条件示す - 日本経済新聞
全国銀行協会はインターネットを通じた不正送金の急増を踏まえ、被害を受けた中小・零細企業などの法人に銀行が補償する際の指針を定める。最新のソフトウエアを導入しているかどうかなど、銀行が補償に応じるうえで考慮する6項目を具体的に例示する。ネット不正送金の被害を避けるために、取引先の企業とともに指針で示した対策を徹底する。全銀協は有識者を招いて企業の被害補償のあり方を検討しており、4日の会合で大筋合
『付箋でPWをディスプレイに貼る行為はそんなに危険か?』
神戸大学 教養原論「情報の世界」講義(大学院工学研究科 森井昌克 教授)2006年,2007年度,実際に開講された講義のブログです.今年も講義はありませんが,引き続き「仮想的」に書かせて頂きます.非常勤講師や講演の依頼は、メールにて直接、連絡をお願いします。 一昨日、FBで 某所から「お客が弱いパスワード(たとえばゾロ目、1234…、qwertyuiなど)を変えてくれない、事情が有って拒絶するわけにもいかない。どうしたらいい??」とヘルプが… それで適当に思い立ったことを…「インセンティブ付けたら? パスワード強度判定(松竹梅で)して、梅だと権利ないけど、竹だと豪華賞品が当たる!? 松だとさらにその2倍の確率で当る!? それを毎月抽選するっていうのはどう?」と提案。本気で稟議にかけるみたい^^; と書きましたところ、 「無意味に長いパスワードを付けてしまい、当然、憶えられず、付箋等に書いて
パスワード認証を脆弱にする10の方法とアンチパターン
いかにしてパスワード認証を脆弱にするか。プログラミング黎明期からずっとデベロッパーの頭を悩ませ続ける問題です。 ここでは脆弱なパスワード認証を実現するための方法を紹介します。 パスワード自動入力の禁止 不届きなブラウザがパスワードを記憶してしまうことがあります。 パスワードは間違いの無いように、ひともじひともじ、人間が入力するべきです。 <input name="pw" type="password" autocomplete="off" /> とするのは常識ですね。ブラウザのパスワード管理機能より、脳内の文字列の方がずっと安心です。 フォームを動的生成、AjaxでPOST cursor: textスタイルで偽input などで、ブラウザのパスワード保存をスキップする方法もあります。 パスワード貼り付けの禁止 貼り付けも自動入力と同罪です。onpaste属性を利用して <input nam
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
いまさら聞けないパスワードの取り扱い方
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解するshigeki_ohtsu
本当は怖い Windows パスワードハッシュ - 登 大遊 (Daiyuu Nobori) の個人日記
「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows
パスワードリスト攻撃の2013年4月〜8月の状況についてまとめてみた。 - piyolog
パスワードの使いまわしを狙った不正アクセスについて最近見かける機会が増えたこともあり、自分の中で整理したくまとめました。対策については既に多くの記事で述べられているためここではとりあげません。 (8/20更新) @games(ジークレスト)へのパスワードリスト攻撃を追加しました。 まずは読んでおきたいBlog、記事 このテーマ、また関連するパスワードについて先行研究・調査されている方の記事が既に沢山あるのでまずはこちらをメモ。 辻さんによるリスト型攻撃に関する考察 セキュリティ・ダークナイト(12):大切なパスワードをつなぐ ひみつマネージャ - @IT セキュリティ・ダークナイト(13):もしかしたらって距離は平行線 一番大事な不正ログイン対策 - @IT セキュリティのトビラ パスワードのトビラ(3) パスワードの使い回しが非常に危険なことを認識する ブルートフォース攻撃について考えて
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
IDとパスワードに頼る認証は、もう破綻している
不正アクセス被害のプレスリリースで次のような表現を見るたびに、何ともいえない違和感を覚えてしまう。 「他社サービスにおけるパスワードの使いまわしではない、まったく別のパスワードの再設定をお願いします---」 いや、言いたいことは良く分かる。ユーザーの自衛策として、パスワードの使い回しを避けた方がいいのはその通りだし、その事実をユーザーに啓発することには意味がある。 だが、私が天の邪鬼だからか、記者の職業病ゆえか…この表現には、ユーザーへの責任転嫁のような意図を感じてしまうのだ。 以前の「記者の眼」にも書いたが、インターネットユーザーが「確実に記憶できる」と考えているパスワードの数は、平均で3個ほどだという。「パスワードの使い回しを避けて下さい」というお願いは、実のところ、大半のユーザーには不可能な注文なのだ(関連記事:いくつもの暗証番号、パスワード…もう限界に来ていませんか)。 そもそも、
超危険なパスワードをセキュリティ的に安全なパスワードに変える作成方法
By Ron Bennetts ウェブメールサービスやSNS、ネットバンキングなどの増加により、パスワードを設定する機会が多くなっていますが、同じパスワードを複数のサイトに登録する人は多いようで、マカフィーの発表によると、全ネットーユーザーのうち74%が同じパスワードを複数のウェブサイトで使用しており、また、よく使われているパスワードは「password」「123456」「12345678」でハッカーにとってかなりクラックしやすくなっているとのこと。マカフィーはインターネットユーザーに対し注意喚起の意味をこめて、クラックされにくいパスワードの設定方法を公開しました。 Are you Hackable or Uncrackable? “Password Day” is Today! | Blog Central http://blogs.mcafee.com/consumer/passwor
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
朝日新聞デジタル:標的は「パスワード」 目的はカネ、使い回しが被害拡大 - 社会
ヤフーの防御システムが防いだ、1台のコンピューターからの不正アクセス数。国内だけでなく、韓国や中国からも300万回以上の攻撃があったあなたのパスワードが狙われている 【須藤龍也】ネット通販やオンラインバンキングの利用に欠かせない「パスワード」。ハッカーたちは、あらゆる手段を使って、あなたのパスワードを狙っている。 ◇ 「見せたいものがある」 今年初め、取材で知り合った日本人ハッカーの1人が送ってきた1通のメール。添付ファイルを開くと、アルファベットと数字が並んだ膨大な文字列が画面いっぱいに表示された。 「iPhoneとiPadのユーザーIDとパスワードです」。メールの文面には、ネット上の闇市場で1件10ドル前後で売られていた、との説明があった。 これは本物なのか。 続きを読むこの記事の続きをお読みいただくには、会員登録が必要です。登録申し込みログインする(会員の方) 無
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「すべてのネットサービスで異なるパスワードを」、IPAが対策を呼び掛け 