タグ

技術とパスワードに関するmohnoのブックマーク (20)

  • 「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識

    パスワードの安全な管理方法として「定期的にパスワードを変更する」「他人にパスワードを作成させる際に記号や数字を混在させるように求める」といったノウハウを実践している人は多いはず。しかし、これらの管理方法は実はセキュリティリスクの高いもので、内閣サイバーセキュリティセンター(NISC)やアメリカ国立標準技術研究所(NIST)のガイドラインでは非推奨とされています。 インターネットの安全・安心ハンドブック Ver5.00 第6章 (PDFファイル)https://security-portal.nisc.go.jp/guidance/pdf/handbook/handbook-06.pdf NIST Releases Second Public Draft of Digital Identity Guidelines for Final Review | NIST https://www.ni

    「パスワードを紙に書く管理方法は意外と安全」「パスワードの定期的な変更は危険」「記号や数字の混在を義務付けるのはNG」など知っておくべきパスワード知識
    mohno
    mohno 2024/09/27
    「NISCは、パスワードの安全な管理方法として「物理的な紙のノートに書いて保管」「スマートフォン用のパスワード管理アプリに記録」という方法を推奨しています」←もう15年以上前に聞いた話なんだよな。
  • 盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案

    盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案
    mohno
    mohno 2022/03/16
    面白いこと考えると思うけど、元画像をハッシュ化して対応できるのか?とか、1/25で突破されるわけじゃないよね?とか、使う場所ごとに画像を変えて覚えてられるの?とかは気になる。あと、色覚異常対応とか。
  • AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている

    多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon

    AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
    mohno
    mohno 2021/11/05
    なるほど。盗んだアカウントでログインしたタイミングで音声botでワンタイムパスワードを押させるわけか。自分でログインしたわけでもないのにワンタイムパスワードを入力しちゃいけないと。
  • さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞

    IT(情報技術)システムの認証からパスワードをなくす動きが広がっている。新型コロナウイルス下で在宅勤務が進む中、漏洩リスクが高いという見方が強まったためだ。米マイクロソフトはメール「アウトルック」やチャット「チームズ」といった自社アプリで顔認証などを標準とした。導入コストも下がり始め、多くの企業が脱パスワードを検討すべき時期を迎えた。スマートフォンに指をのせると、傍らのパソコンの画面が切り替わ

    さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞
    mohno
    mohno 2021/10/11
    スマホのアプリがパスワードマネージャになるってことかな。生体認証に、あまり安心感はないんだけど。
  • ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも

    平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通NTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。 ある日の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催され

    ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも
    mohno
    mohno 2021/04/20
    「平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速」←某所はまだ続いてるが、いくら個人で愚痴っても変わらなかった方針が変わっていって、平井大臣なめててゴメンってなってる。
  • Zipファイルのクラック

    メールでZipファイルを送って次のメールでパスワードを送るという無意味より悪いセキュリティ対策が問題になっている。なぜ無意味より悪いかというと,Zip暗号化は強度が十分でない上に,次のメールで送るパスワードは無意味で,さらにゲートウェイでのウイルス対策ができなくなるのでウイルス送付に利用されやすいためである。 PythonZipファイルを展開する方法は文字コードのところに書いたが,同様にしてパスワードをブルートフォースで破ることも原理的には可能である。6桁数字のパスワードで暗号化した test.zip をクラックするには次のようにすればよいであろう: from zipfile import ZipFile with ZipFile('test.zip') as z: for i in range(1000000): pw = f'{i:06d}' try: z.setpassword(p

    mohno
    mohno 2020/12/05
    そういう問題じゃないよね。「4桁数字のパスワード」←そもそもそんなパスワードで運用している例があるんだろうか。実際に知ってる例だと8桁英数字くらいなんだが。
  • ベストなパスワードマネージャーはこれ!数十種類から厳選してみた

    ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ

    ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
  • 「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか

    平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール

    「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
    mohno
    mohno 2020/11/24
    「代替策を考えるとすれば、定石は「クラウドストレージを利用して適切にアクセス権を設定する」でしょう」←どんなファイルをやりとりしたかの記録は必要なんだろうけど、ベネッセみたいに“抜け”はあるからなあ。
  • グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ

    サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。 このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。 Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計さ

    グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
    mohno
    mohno 2020/03/09
    「バンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッド」「コンテンツのスクリーンショットを取得できる」←さすがに、しょうがなくないか?/キャプチャ禁止フラグを付けとけって話か。
  • GPUでZIPパスワードを解析する - Qiita

    企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn

    GPUでZIPパスワードを解析する - Qiita
    mohno
    mohno 2019/12/12
    ファイルの暗号化じゃないから同列に論じられないけど、“セキュリティのためのシステム”で8文字固定長のパスワードを使ってるところがあるなあ。
  • PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ

    PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ:今さら聞けない「認証」のハナシ(1/4 ページ) ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証サービスを提供する認証セキュリティ専門

    PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ
    mohno
    mohno 2019/02/20
    知らなかった。「PINの「知識」と、PIN情報が格納されている端末もしくはICカードの「所有」が必要なので、二要素認証」←ICカードからPINを読みだせないの?そうなの??(素朴な疑問)
  • 21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT

    井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール

    21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
    mohno
    mohno 2018/12/20
    だよねぇ。ファイル共有サイトでアクセス制限かけてリンクを渡す方がまだマシだと思うんだが、それは許されないんだよな。
  • 脅迫メールが来た - novtanの日常

    いやー、来るんですねー。2通目なんだけど。 ybb.ne.jpは昔から使っているYahooBB!(東京めたりっくが買収されたので仕方なく…)のアカウントですね。 一部伏せ字です。 こんにちは! あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか? この瞬間、私はあなたのアカウント(xxx@ybb.ne.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます! 今私はあなたのアカウントにアクセスできます! たとえば、xxx@ybb.ne.jpのパスワードはxxxです 実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。 あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Rem

    脅迫メールが来た - novtanの日常
    mohno
    mohno 2018/09/27
    まだ2通目:-) この手の迷惑メール、7月から英文で届き始めてはいたが(今は毎日何通も届く)、自動翻訳されて送られるようになったか。盗んだアカウント情報でどこかのサイトをハッキングするより手軽なんだろう。
  • 新手の脅迫メールに注意 題名と本文に本物のパスワードが… | NHKニュース

    物のパスワードを突きつけ「アダルトサイトの閲覧履歴を暴露する」として金銭を要求する脅迫メールが相次いで確認され、民間のセキュリティー機関では闇サイトなどに流出した情報を何者かが悪用していると見て注意を呼びかけています。 メールの題名と文に、受信した人が実際に使っているパスワードを記したうえで、英語で「アダルトサイトの閲覧履歴を暴露する」などと脅し、十数万円相当の仮想通貨を支払うよう要求しています。 被害はまだ確認されていませんが、中にはすでに使われていない古いパスワードが書かれていたケースもあったことから、何者かが企業などから流出した顧客のメールアドレスやパスワードを闇サイトで入手するなどして脅迫メールを送りつけていると見られています。 JPCERTコーディネーションセンターの佐々木勇人さんは「メールが送りつけられても、決して取り合わず、速やかにパスワードを変更してほしい。どこから情報

    新手の脅迫メールに注意 題名と本文に本物のパスワードが… | NHKニュース
    mohno
    mohno 2018/08/13
    ぶっちゃけハッキングされた mixi アカウントで使ってたパスワードでこれが来た。以前、使いまわしてたやつだから、どこから漏れたのか分からないが。
  • mixiで26万アカウントに不正ログイン リスト型攻撃、試行430万回

    流出したID、パスワードのリストを使い、別のサービスへの不正ログインを行うリスト型アカウントハッキングの被害が相次いでいる。ミクシィは6月17日、SNS「mixi」がリスト型アカウントハッキングを受け、16日までに26万3596アカウントが不正ログインにあったと発表した。不正ログインの試行回数は430万回にのぼったという。17日時点でも攻撃は継続中で、対象アカウントは拡大する可能性がある。 疑わしいIPアドレスからアタックを受けたのは5月30日。6月2日にユーザーから問い合わせを受けて調査した結果、不正ログインを確認した。現時点で、課金やmixiポイントの不正利用などの被害は確認しておらず、同社システムではクレジットカード情報は保有していない。 不正ログイン対象ユーザーのうち1か月以内にmixiにログインしているユーザー7万8058アカウントには、mixiメッセージでパスワードの変更を依頼

    mixiで26万アカウントに不正ログイン リスト型攻撃、試行430万回
    mohno
    mohno 2018/06/10
    「同社からの情報流出ではなく、他社サービスから流出したID、パスワードを流用したリスト型アカウントハッキングだったとみている」←全然使ってなかっただけに、どこから漏れたのかが気になる。
  • 「パスワードは定期的に変更してはいけない」--米政府

    アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはずだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの規格標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜな

    「パスワードは定期的に変更してはいけない」--米政府
    mohno
    mohno 2017/05/23
    「情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた」「NISTは最低64文字でスペースも入れられる「パスフレーズ」を推奨する」
  • 武田圭史 » 【パスワードの定期変更1】〜まずは結論から

    ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初にエントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。 【結論】 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じて

    mohno
    mohno 2016/02/01
    概ね同意なんだけど「パスワードの定期変更は無意味」は「定期変更させておけば大丈夫」という運営の浅慮に対する戒めを簡略化した表現なのだ、という視点はあると思う(そういう主張がなされているかは知らない)。
  • ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」

    Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… Hiromitsu Takagi @HiromitsuTakagi …出てきた。しかしそれはもはや「パ

    ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
    mohno
    mohno 2015/01/01
    CardSpaceが懐かしいな。パスワードだけでなくログインIDが番号だったり自動付与されるものもあるので、私はExcelで管理してる。とっくに覚えきれんよ。
  • パスワード定期的変更の効能について徳丸さんに聞いてみた

    高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議

    mohno
    mohno 2014/09/10
    「パスワード定期的変更懐疑派の筆頭格であるシュナイアー氏も、会社のパスワードは時々変える(You should change your corporate login password occasionally)ことを勧めています」「高橋は架空の人物です」
  • https://jp.techcrunch.com/2013/01/19/20130118google-wants-your-next-password-to-be-a-physical-one/

    https://jp.techcrunch.com/2013/01/19/20130118google-wants-your-next-password-to-be-a-physical-one/
    mohno
    mohno 2013/01/20
    サービスごとに違うデバイスを用意するわけじゃないよね?(利用するまでに時間がかかってしまう)。CardSpace ってことでもないんだよね? まさか携帯の端末IDっぽいものでもないんだろうけど。
  • 1