When to Change Passwords 日本語訳 パスワードの変えどき
以下の文章は、Bruce Schneier による When to Change Passwords(初出は Dark Reading 2010年11月10日)の日本語訳である。 どれくらいの頻度でパスワードを変えるべきか? 私はそうした質問をよく受けるが、それを言ってくるのは大抵、会社や銀行のパスワードの有効期限ポリシーに悩まされている人たち――ようやく今のパスワードを覚えたと思ったら、新しいパスワードを書き留めなければならないのに気付いている人たちだ。一体どれくらいの頻度だとより安全になるのか、彼らはそれを知りたがっている。 その答えは、パスワードが何に使われるかによる。 パスワードを変えることの欠点は、覚えにくくなることだ。だから人にパスワードを定期的に変えるよう強いれば、彼らは何年も同じパスワードを使える場合よりも覚えやすい――つまり推測しやすい――パスワードを選ぶ可能性が高い。よ
平文パスワードの再送問題について
MySoftbankの「パスワード確認」機能がパスワード再発行ではなく過去に設定したパスワードを平文で再送してきたことについて愚痴ったら、ツッコミが入った件。 論点はハッシュから元パスワードが復元できるか?という話になってます。 この点に関してはどうも@kawazの認識に間違いがあったようです。 今回はこの分野について勉強しなおすよい機会になりました。 続きを読む
続パスワードの定期変更は神話なのか - ockeghem's blog
2008年2月にパスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記を書いた時の反応は、賛否両論という感じだったが、その後、twitterでのつぶやきなどを見るに、「パスワードは定期変更しなくてもいいんじゃない?」という意見は、セキュリティの専門家にも多くなっているような印象を受けている。 そのよう状況の中、以下の記事を読んだ。 辞書攻撃がうまくいかない場合、クラッカーは総攻撃(ブルートフォース攻撃とも言います)を仕掛けます。【中略】仮に1秒間に1000万回の計算ができるとすれば、パスワードのクラックに要する時間は1年にもなりません。どんなに強固なパスワードであっても、1年ももたないということになります。だからこそ、3カ月に1回とか半年に1回はパスワードを変更する必要があるのです。(2ページ目より引用) http://www.itmedia.co.jp/enterp
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
おいAmazonがパスワード前方一致でログインできるぞ:アルファルファモザイク
■編集元:ニュース速報板より「おいAmazonがパスワード前方一致でログインできるぞ」 1 アシロ(東京都) :2010/05/26(水) 22:46:43.25 ID:YY8vUbDQ ?PLT(15562) ポイント特典 ゼニタナゴ(東京都) :2010/05/26(水) 22:47:25.00 ID:bJRoOPtq はいはいすごいでちゅね 7 ウミタナゴ(新潟県) :2010/05/26(水) 22:47:27.33 ID:Zq7t6RU8 ログインしたら不正アクセスで逮捕されるの? 18 ユカタハタ(アラバマ州) :2010/05/26(水) 22:48:27.21 ID:2O/ifdBT つまり実質4桁のパスだってことなの? 19 ハマフエフキ(長屋) :2010/05/26(水) 22:48:27.77 ID:ZMKJBnMT この家鍵かかって無いですよと言
パスワードリマインダーの実装を考える - Scrapcode@はてなダイアリー
サイト運営者の視点で、パスワードリマインダーの実装について考えてみます。 (1) 登録メールアドレスに生パスワードを送信する アチコチでよく見かけますが、パスワードの扱いが軽すぎます。 メールを盗聴されるとパスワードが漏れます。パスワードの使い回しが少なくないと思われる現在、該当サイトだけでなく他のサイトもアカウントを乗っ取られる危険性があります。 また、該当サイトではデータベースに生パスワード、もしくは復号可能なパスワードを保存している事になります。万が一該当サイトのサーバーがクラックされた場合、データベースのデータと復号方法まで一緒に漏れる可能性があります。 (2) 登録メールアドレスにランダムな仮パスワードを送信する メールを盗聴されるとその仮パスワードを使ってログインされ、アカウントが乗っ取られます。パスワードを変更されてしまうとどうしようもなくなります。 盗聴者より先にログインし
[セキュリティ編]パスワード・ポリシーを厳しくしすぎてはいけない
IDとパスワードは,最も基本的でかつ有効な本人確認の方法である。その安全性を高めるには,パスワード・ポリシーをできるだけ厳しくすべきと考える人がいるが,大きな誤解である。 「英字の大文字/小文字,数字の組み合わせが必要で,最後が数字で終わってはいけない」「パスワードは毎月変更する必要があり,過去5世代のパスワードは再利用できない」といったポリシーを設定している例を耳にする。こうした複雑なポリシーを設定すると,パスワードが漏えいするリスクよりも,付せん紙にメモされてしまうリスクの方が高くなりやすい。 パスワード認証を用いる場合に考慮・検討すべき機能項目を表にまとめた。注意が必要なのは,どの項目もやみくもに厳しくしてはいけないということである。ポイントは大きく二つある。(1)利用を強制する文字種類の数を安易に増やしてはいけないことと,(2)パスワードの定期変更を安易に迫っていけないことだ。
![[セキュリティ編]パスワード・ポリシーを厳しくしすぎてはいけない](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
あなたのパスワードの強度はどれぐらい?『The Password Meter』 | 100SHIKI
パスワードはなるべくランダムな方がいい。あまりにシンプルだとプログラムによって解析されてしまうこともあるからだ。 というわけでThe Password Meterをご紹介。 このサイトではあなたのパスワードの強度がどれぐらいかを分析してくれる。 小文字や大文字を混ぜたり、記号をいれたり、といったことをすればパスワードの強度は強くなる。このサイトをみながらパスワードの変更を検討してみるのはいかがでしょう。 またこのサイトではパスワード強度チェックのためのプログラムも配布している。自分でウェブサービスを作っている人は使ってみてもいいだろう。
パスワードによるログイン管理の陳腐化と 制度整備の検討 - 雑種路線でいこう
Web屋さんのいう通り、パスワード管理にハッシュ関数を使わないサイトに問題があるんだけど、現実には難しいだろうね。どのサイトがセキュリティに配慮しているかなんて利用者からは分からないし、それぞれ別々のパスワードを設定したらメモするなり別の穴が出てくる。そろそろWebサイト別のID・パスワードという認証スキームが破綻しつつある気がするんだけど、じゃあOpen-IDか?というと敷居が高いし、PKIやWindows CardSpaceといった技術も普及の気配はない。 パスワードの管理にハッシュ関数を使う、それだけじゃ同じパスワードだと同じハッシュ値になるからソルトもまぶして、みたいな技って昔UNIXを齧った奴なら常識だよね。あれからシャドーパスワードとかPAMとか出て、少しだけ複雑になったけど。最近のWeb開発屋って、パスワードも住所も同じフィールドって認識しかないのかな。最近はログイン画面をS
最強のパスワードを作る 第3回 強化編:「記号」と「自分なりのルール」で強くする:ITpro
では、現実的な強いパスワードの作成に取り掛かろう。「基本方針」は、たったの3つ(図3-1)。これらを実践するだけで、十分破られにくいパスワードを作れる。 まず、使っているパスワードが「ユーザーIDと同じ文字列」あるいは「パスワードなし」の場合には、今すぐ変更すべき。これが、最初の基本方針だ。 「現状編」で説明したように、これらは、攻撃者が最初に試す文字列であり、簡単に破られるパスワードの代表格。そのまま使い続けるのはとても危険だ。これらの使用をやめて、後述するような文字列に変更すれば、「単純な推測」によるパスワード破りを防げる。 次に防ぐべきは「辞書攻撃」。辞書攻撃に対抗するには、パスワード破り用の辞書に存在しない文字列にする必要がある。とはいえ、「現状編」で述べたように、頭に思い浮かぶような文字列は、すべて辞書に含まれていると考えた方がよい。 記号を入れれば強くなる 辞書にない文字列を作
最強のパスワードを作る 第1回 総論:コツさえつかめば簡単:ITpro
WebメールやネットオークションといったWebサービスのほとんどで、本人確認の手段として使われているパスワード。登録されているユーザーIDとパスワードの組み合わせを知っているかどうかで、ユーザー本人かどうかを確認する。たとえ別人でも、ユーザーIDとパスワードさえ合っていれば、本人だとみなされてアクセスを許される。 このため、他人には分からないようなパスワードを設定し、適切に管理することは情報セキュリティの基本。容易に推測できるパスワードを設定したり、誰でも読める場所に書き留めておいたりしたら、自分になりすました第三者に、Webサービスを悪用されてしまう。 実際、パスワードを破られて被害に遭うケースは後を絶たない。警察庁によれば、アクセスを許されていない第三者がWebサービスなどを悪用する「不正アクセス」のほとんどが、「識別符号窃用型(パスワード破り型)」によるものだという(図1-1)。20
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
安全なパスワードの作り方、マカフィーが指南 
セキュリティ通信|セキュリティ関連ニュース サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う