パスワード保存とソルトの話
先日、twitterへのハッキング行為が発見された、という発表がなされました。一部のユーザのデータが漏洩したということです。 この件について個人的に懸念を感じたため、それをこちらに書いておきました。原文では encrypted/salted password と呼ばれていたものが、日本語の公式ブログでは「暗号化されたパスワード」となり、これが朝日新聞では「パスワード」と表記されているという問題です。 専門知識があれば、ここにどういう違いがあるかはわかるのですが、そうでなければわからないのも無理はありません。しかし、わからないからといって省略して良いわけでもありません。パスワードと encrypted/salted password は大きく異なります。 ではどう違うのか? この話について、ひと通りの解説をしてみるのも良いのではないかな、と思ったのでしてみます。 「パスワード」は保存されない
アカウント乗っ取りを防げ!Google2段階認証プロセスを設定する全手順
今朝、懐かしい方からメールがあって私はiPhoneをまじまじと見つめてしまいました。それはこのブログにも以前登場した「一流の研究者」の、私の師匠です。 しかしメールの内容はおかしなものでした。「いま海外にいるのだが、同行していた人が急病になってしまい、手術にお金が必要なので送ってくれないか」という内容で、つまりは詐欺メールです。 シグネチャまでも真似ていますが、誰かが師匠のメールアドレスを乗っ取ったのです。### 2段階認証を使おう 師は周囲にコンピュータのウィザードが大勢いますのできっと適切に対応がとられているものと思います。 しかし一度アカウントが乗っ取られると、住所録も含めて奪われてしまいますのでいつまでも自分の名前を騙って友人、親戚にこうした詐欺メールが送られるリスクが続きます。 私の周囲でも今年に入ってGmailが乗っ取られてこうした詐欺メールが飛んできたというケースが複数ありま
老人とパスワード
実家に住む親父(80)から、 「パスワードを入れる画面で、ぐにゃぐにゃの字が出てきて、どうすればいいかわからない。」 と電話がかかってきた。 いわゆる「画像認証」というやつだ。 画像を見て書いてある文字を入力すればいいのだが、酷く読みづらいことで有名で、時々 「いくらなんでもこれは読めないだろ!」 と話題になっているほど。なので、親父が読めないのも無理はないが、だからといってスルーさせてはくれないのがインターネットの厳しいところ。 考えてみるとコンピュータの世界は年寄りにやさしいところがほとんどない。昭和一桁生まれ、80歳の親父がいかにしてその荒波に立ち向かっていったかを見ながら、問題点がどこにがあるのか見直してみたい。
本当は怖いパスワードの話 ハッシュとソルト、ストレッチングを正しく理解する - @IT
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
GPU で ZIP パスワードを高速解析 | スラド セキュリティ
高速電算研究所の WEB サイトによれば、ZIP ファイルにかけたパスワードを忘れてしまった人のために GPGPU で高速に解析するサービスを開始したそうだ。 YouTube に実際のパスワード解析を行う動画がアップロードされているが、680 億個のパスワード空間を探索するのに要した時間は 108 秒。動画では大文字、小文字、記号を組み合わせた 6 桁のパスワードがあっさりと割り出されている。ZIP パスワード解析といえば PIKAZIP 等のフリーソフトが有名だが、高速電算研究所によれば Intel Corei7 で PIKAZIP を動作させた場合と比較して約 100 倍のパフォーマンスを実現したとのこと。 ZIP 暗号には互換性を重視した「Traditional PKWARE Encryption」が多く使われており、最大鍵長はわずか 96 bit (12桁) 。より強度の高い AE
お安い GPU で強固なパスワードも用無しに | スラド セキュリティ
大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、本家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破
パスワード失念時の「秘密の質問」に答えて3200以上のアカウントを不正入手した男 | スラド セキュリティ
米国在住の23歳、George Bronkは3200以上ものメールアカウントをクラックし、私的な写真をそのアカウントの持ち主のFacebookアカウントにアップした罪で訴えられているそうだ(IT WORLD、本家/.)。 容疑者の手口は定番とも言える、GmailやYahooメールなどのWebメールアカウントの「秘密の質問」に答えるというもの。Facebookのアカウントをチェックすれば簡単に答えが分かるものも多く、次々と成功したとのこと。一旦ログインに成功したあとはパスワードを変更して本人をロックアウトし、ユーザーの「きわどい写真」を探しだして本人のFacebookのアカウントにアップしていったそうだ。 容疑者は172のアカウントにおいてユーザのセミヌードの写真を見つけたそうで、うち1件に関しては、より際どい写真を送るよう脅迫していたことも分かっている。裁判では児童ポルノや個人情報の盗難、
SSH秘密鍵のパスフレーズは(つけるなら)11文字以上にしましょうねという話 - 本当は怖いHPC
twitter上で、「SSHの秘密鍵って、盗まれて.bash_history見られたらアクセスし放題だから危ないからパスフレーズを付けるべき」という話があった。個人的には、パスフレーズは気休め程度にしかならないと思っているので付けていない。そもそも、SSH秘密鍵のパスフレーズは、ネットワーク越しのパスワードとは違うもので(だから違う名前がついているのだが)、ZIPファイルのパスワードと似たようなものだ。攻撃者がファイルをローカルにコピーしてじっくり解析できる。 よって、パスフレーズが役に立つのは、 秘密鍵(とシェルのログ)を盗まれ、 秘密鍵を盗まれたことに気づき、 素早くすべての接続先ホストにおいて盗まれた秘密鍵を無効にする という場合だ。このシナリオなら、攻撃者によって接続先に不正にアクセスされるのを防ぐことができる。 パスフレーズによって、どれくらいの猶予が生まれるのか? パスフレーズ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
