今時のパスワード運用の仕方。或いは1Passwordの勧め。 - プログラマでありたい
先日、Twitterがハッキングを受けた可能性があるということで、多くのユーザーに対してパスワードリセットが行われました。私もその影響を受けて、パスワードの再設定を余儀なくさせられました。せっかくの機会なので、このご時世のパスワード運用についてまとめてみました。 かつてのパスワード運用と、クラッキングの潮流 私は以前、アカウントの重要度に応じて幾つかのパスワードを持っておりました。例えば最重要のGmailや金融系のパスワードは、複雑な10桁程度の組み合わせ。特に重要ではないサービスについては、8桁程度のパスワードとか。ポイントは、アカウントは数多あれど、パスワードは数種類しかないということです。これくらいだったら覚えられます。 しかし、このご時世、そんなパスワード運用していたらダメです!!例えば、同一のログインID・パスワードを複数のサイトで使いまわしていたら、一つのサイトがハッキングされ
WindowsのパスワードはGPUを25個使えば約6分から6時間で突破が可能、毎秒3500億通りもの総当たりが可能な方法とは?
一般的な企業で使用されているWindowsのパスコードを6時間以内に突破できるGPUクラスターを使用したクラッキングのシステムが開発された、とArs Technicaが報じています。 25-GPU cluster cracks every standard Windows password in 6 hours | Ars Technica http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/" このシステムを開発したのはStricture Consulting Group社のCEOであるJeremi M Gosney氏で、ノルウェーのオスロで開催されたPasswords^12 conferenceにてその詳細を発表しました。 Gos
iCloudのパスワードがクラックされるとこうなる【悪夢のような実話】※追記あり : iPhoneマイスター
元ギズモードのライターであるMat Honan氏に襲った悪夢。ハッカーが彼のTwitter、Gmail、iCloudのパスワードを解読し、乗っ取ってしまいました。どうなってしまうかは想像通り。 ※結局パスワードがハックされた訳ではありませんでした。記事の最後に追記があります。 ハイジャックしたのはハッカー集団「Clan Vv3」。本人のTwitterアカウントが乗っ取られ、約50万のフォロアーを擁する公式Gizmodeアカウントから人種差別的なツイートが流れてしまいます。乗っ取り時間は15分。 もっと最悪なのが、iCloudアカウントを乗っ取られてしまったこと。本人もツイッターは「序の口」と述べており、iCloudアカウント乗っ取りで起きた悲劇をこう綴っています。(抜粋) 夕方の4時50分、誰かが自分のiCloudアカウントにログインして、パスワードをリセット。 そのパスワードは7文字のア
若い人の方が恐ろしく簡単なパスワードを使う傾向がある
By binaryCoco 若い人の方がITリテラシーが高くてパスワード管理もしっかりしていそうなイメージがありますが、実際は年長者の方が難しいパスワードを設定しており、若い人は驚くほど簡単なパスワードを使っているという傾向があることが、Yahoo!で使用されている7000万件のパスワード調査からわかりました。 Young people pick terrible passwords compared to their elders - Neowin ネット上に置いている重要情報を攻撃者から守ってくれるほぼ唯一のものが「パスワード」です。しかし、Eメールや銀行口座のパスワードであっても、多くの人が単純なパスワードを使用しています。よく使われるパスワードトップ500によると1位が「123456」、2位が「password」、3位が「12345678」、4位が「1234」で、そのほかにもほとん
パスワードは全て異なるものにするしかない : akiyan.com
パスワードは全て異なるものにするしかない 2012-05-14 目次 共通パスワードは恐ろしい 1年くらい前から、全てのウェブサービスのパスワードをユニークな(=全て異なる)パスワードにしました。100以上の利用サービスがあるので、達成するまでは手間でしたが、達成後はかなりの安心感を得ることができました。 どうやったのかは後で説明しますが、なぜそうしたかというと、あるとき、同じパスワードを使い回すのが恐ろしくなったんですよね。 どういうことかというと、「サービスA」「サービスB」があるとします。パスワードが同じだと、サービスAのパスワードが流出したときに、サービスBにまで被害が広がる恐れがあります。流出しなくても、サービスAの管理者が悪意を持っていれば、サービスBにアクセスできてしまします。 これを現実世界の鍵に例えると、「家の鍵と、貸しロッカーの鍵が同じ」みたいなものです。こう思うとヤバ
ハッカーがあなたのパスワードを破るまでにかかる時間は?
こんなにも違ってくるものなのですね! パスワードを決めて下さい、と言われるとつ覚えやすくて簡単なのをいれてしまいますが、アルファベット小文字のみで6文字以下だと、ほんの10分くらいでハッキングされてしまうのですね。 一方、小文字大文字混ぜて数字と記号も混ぜて9文字以上だとパスワードハックするのに4万4530年もかかるんですよ。これはもう難攻不落ですね。 小文字と大文字まぜて数字と記号もまぜたパスワードにして下さいと言われると、ちっ! とついつい思っていましたが、こうもハッキングされる時間に違いが表れるとは! ちっ! とついつい思っててごめんなさい。 [BusinessWeek via Neatorama] そうこ(Casey Chan 米版)
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
4桁の暗証番号で使用を避けるべき組み合わせとは? | Token Spoken
この21世紀になっても4桁の暗証番号(PIN)というのは様々な場所で使われています。 欧米などでよく見られるマンション玄関のドアロックから、世界共通の携帯番号のロック機能やATMでの現金引き出しなど、未だに4桁の数字が暗証番号として日常の生活で活躍しています。 たとえば、あなたがキャッシュカードを紛失し、悪意のある人間がそれを拾ったならばどうするでしょうか? 当然ながら、所有者の生年月日など個人的な数字の組み合わせを知っていればそれを真っ先に試すでしょうが、(最近では生年月日を暗証番号として登録させてもらえませんが。)知らない場合は確率の高い番号を予想して入力するしかありません。 では、そのような非常事態に、悪意のある人間が予想できてしまう暗証番号の組み合わせとは何でしょうか? iPhoneアプリ「Big Brother Camera Security」のデベロッパーDaniel Amit
Passwords Generator
パスワードを大量に自動生成可能な無料のオンラインツールです。パスワードに使用する文字、長さ、個数に加え、上級者モードでは、文字の構成パターン、アルゴリズムなどをカスタマイズできます。生成したパスワードの強度を数値や色🚥で表示します。パスワード生成処理のすべてはあなたのパソコン上で実行するため安全に使用できます。フォーム内の該当するパラメータにマウスを重ねると簡単な説明が表示されます。応用的な使い方はGraviness Blogを参照してください。
Amazon EC2 の新メニュー「クラスタ GPU インスタンス」でパスワードクラック | スラド セキュリティ
Amazon が提供しているクラウド型の計算リソース提供サービス Amazon EC2 のメニューに、新しく「クラスタ GPU インスタンス」が追加となった。この強力な計算リソースを、早速パスワードクラックに使ってみた人が出たようだ (stacksmashing.net の記事、本家 /. 記事より) 。 Amazon EC2 の新メニュー「クラスタ GPU インスタンス」では、1 インスタンスあたり CPU: Xeon X5570 x2、メモリ: 22 GB、ストレージ: 1.69 TB に加え、NVIDIA Tesla M2050 x2 が割り当てられ、1 時間 2 ドル 10 セント (EC2 とのデータ転送料金等は別途) で利用することができる (Internet Watch の記事) 。この計算リソースを利用して今回試みられたのは、14 個の SHA1 ハッシュの値 (リスト)
会社のセキュリティルールは破って当たり前、実態調査で明らかに
会社のセキュリティルールは破って当たり前、実態調査で明らかに:USBへのコピーやパスワード共有が常態化 多くの企業で、従業員が社外秘情報をUSBメモリにコピーして持ち出したり、同僚と同じパスワードを使ったりするなど、会社のセキュリティポリシーを無視した行為が日常化している。フラッシュドライブメーカーIronKeyが6月10日に発表した調査で、こうした実態が明らかになった。 調査は、IronKeyの委託で調査会社Ponemon Instituteが従業員を対象にアンケート調査を実施した。それによると、従業員の69%が社外秘などの情報をUSBメモリにコピーしていると回答。しかし、会社のポリシーでこのような行為が認められているのは13%のみで、48%がポリシーに従っていないことが分かった。 USBに記録した情報を、会社のネットワークに所属しない別のコンピュータにコピーしているとの回答も61%に上
あなたのパスワードの強度はどれぐらい?『The Password Meter』 | 100SHIKI
パスワードはなるべくランダムな方がいい。あまりにシンプルだとプログラムによって解析されてしまうこともあるからだ。 というわけでThe Password Meterをご紹介。 このサイトではあなたのパスワードの強度がどれぐらいかを分析してくれる。 小文字や大文字を混ぜたり、記号をいれたり、といったことをすればパスワードの強度は強くなる。このサイトをみながらパスワードの変更を検討してみるのはいかがでしょう。 またこのサイトではパスワード強度チェックのためのプログラムも配布している。自分でウェブサービスを作っている人は使ってみてもいいだろう。
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
「Zipファイルのパスワードを短くするのは危険だよ!」を計算して確認してみた - 元RX-7乗りの適当な日々
仕事をしていると、何らかの形でパスワード付きのZIPファイルを受け取ることがあるのですが、そのパスワードを教えてもらったときに、思いのほかパスワードが短い(3文字とか4文字とか)ことが多くて驚きます。 何のためにパスワードをかけているのかを考えると、ちょっとした努力で紐解きにくくできるものなら、堅くしておきたいものですよね。 というわけで、短いパスワードのZipファイルがどれだけ危険かを計算してみようと思います。 パスワードに使える文字パターン もっとたくさんある気もしますが、とりあえず前提として、よく使う半角英数字/記号文字ってことで、パスワードに用いる文字列を以下の89種類とします。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 ~@#$%^&*()_+-=[]{},.\"/?:;` パスワードの文字数
パスワード管理ソフト4種類を試す | OSDN Magazine
Webサイトへのログインで利用するパスワードは、サイトごとに使い分けるのが望ましい。それも、さまざまな種類の文字を組み合わせた長めのパスワードにする方が強力だ。だがそうなると、すべてのパスワードを暗記しておくのは難しい。そんなときに役立つのがパスワード管理ソフトだ。さまざまなWebサイトのパスワードを暗号化してコンピュータ上のファイルに保存し、必要に応じて取り出すことができる。この記事では、4種類のパスワード管理ソフトを紹介する。いずれも、簡単にパスワードを呼び出すことができ、パスワードファイル自体を安全に保護できるものばかりだ。 もちろん、パスワードをコンピュータ上に保存することには、それなりのリスクが伴う。管理ソフト本体や暗号化ライブラリにバグがあるかもしれないし、管理ソフトで暗号化データベースに保存するパスワードが実質的に“一蓮托生”の状態となる。つまり、暗号化データベースのセキュリ
「添付ファイルはパスワード付き暗号化」でいいのか
記者という仕事がら、取材先や寄稿者と、記事の素材データやプレゼン資料をやり取りすることが多い。もちろん、メールを使ってである。ただ最近になって、受け取ったメールに添付されていたファイルが暗号化されていることがとみに増えてきた。ファイルを復号化しようとするとパスワードの入力を求められる。パスワードは後から別のメールで送られてくるという方式だ。 情報漏洩を懸念してのことだ。外部とやり取りする際はファイルをパスワード付きで暗号化してからメールするよう、情報システム部門や法務部門がルールを設けているのだろう。この7月から8月にかけて、企業十数社に外部との機密情報のやり取りをどのように行っているかを取材する機会があった。実際にこのようなルール順守を業務部門に設けている企業が多かった。標準的な手法になりつつあるように思う。 しかしこの方式を採用する企業が増えることに、筆者は懸念を感じる。セキュリティ対
「LastPass」でパスワードを一括オンライン管理!(フリーソフト) | ライフハッカー・ジャパン
Windows/Mac/Linux:Firefoxのエクステンション&IEのアドオンである「LastPass」を使えば、全てのウェブパスワードを一括管理することが可能。 他のウェブベースのパスワード管理ソフトと同様に、一つのマスターパスワードを入力すれば、その他のパスワードを紐解いてくれるという仕組み。ログインした状態で訪問したウェブサイトのログイン名やパスワードが自動的に登録されるのです。しかもそれだけではなく、パソコンベースではなくネットベースでのパスワード管理が可能なので、他のパソコンを使用する際にも「LastPass」にログインしておくだけで、煩わしいパスワードチェースから身の安全を確保。職場でも家でも同じ環境が。Firefoxとはシームレスに作動し、期待通りの動きを見せてくれます。 初めて行くサイトでログイン名などを作成する場合、「LastPass」は解読が困難なパスワードを自動
第3回:パスワードの決まりが厳しすぎる
あなたの会社の「エンドユーザー」は,自社のセキュリティ対策に様々な不満や疑問を抱えている。エンドユーザーの声に,情報システム部門はどのように応えていけば良いだろうか。セキュリティ・コンサルタントの濱本常義氏と共に,その答えを考えてみよう。 エンドユーザーの不満 (不満その1) 私の職場では,三カ月に一度,パソコンのログイン・パスワードを変更する決まりがあります。一度設定した番号は再度使えないし,誕生日や電話番号など見破られやすいものも禁止。情報管理の担当者が毎回チェックに回るため,手を抜けません。最近は次第に覚えやすいパスワードがなくなってきて,困っています。 (不満その2) 我が社では,パスワードを求められる回数がとにかく多いことが不満です。パソコンにログインするときはもちろんのこと,どのソフトを使うにも,起動時に毎回パスワードを入力しなくてはなりません。ある程度の対策は必要ですが,ここ
コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch • Startup and Technology News
