タグ

関連タグで絞り込む (21)

タグの絞り込みを解除

Passwordに関するno_riのブックマーク (40)

  • パスワードは定期的に変えるべきなのか - 極楽せきゅあブログ

    もしかしたら、徳丸さんのパスワードの定期変更は「神話」なのか? - ockeghem's blogというエントリとかを目にしてて、そののちこの事件のことを知ったとしたら「7年間同じ管理者パスワードだった」銀行システムに大非難 | 日経 xTECH(クロステック)、混乱するかも知れませんね。7年間も変更していなかったから盗まれるか推測されるか、あるいは誰かが迂闊にもどこかで入力を見られてしまったとか、あるいはまた退職者が破壊行為を行ったとか、そういう事態に陥ったのではないか、というニュアンスで書かれていますからねえ。 7年も変更しなかったというのが即ちだめだめな運用だったということで責められまくってるようですけど、この会社のことうんとこさ好意的に見て徳丸説+ダークナイト説(パスワードの定期変更という“不自然なルール” (3/4):セキュリティ・ダークナイト(6) - @IT)のようなポリシー

    パスワードは定期的に変えるべきなのか - 極楽せきゅあブログ

  • When to Change Passwords 日本語訳 パスワードの変えどき

    以下の文章は、Bruce Schneier による When to Change Passwords(初出は Dark Reading 2010年11月10日)の日語訳である。 どれくらいの頻度でパスワードを変えるべきか? 私はそうした質問をよく受けるが、それを言ってくるのは大抵、会社や銀行のパスワードの有効期限ポリシーに悩まされている人たち――ようやく今のパスワードを覚えたと思ったら、新しいパスワードを書き留めなければならないのに気付いている人たちだ。一体どれくらいの頻度だとより安全になるのか、彼らはそれを知りたがっている。 その答えは、パスワードが何に使われるかによる。 パスワードを変えることの欠点は、覚えにくくなることだ。だから人にパスワードを定期的に変えるよう強いれば、彼らは何年も同じパスワードを使える場合よりも覚えやすい――つまり推測しやすい――パスワードを選ぶ可能性が高い。よ

  • エフセキュアブログ : ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

    ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ 2011年04月01日15:31 ツイート mikko_hypponen ヘルシンキ発  by:ミッコ・ヒッポネン 300万以上のユーザアカウントのパスワードが、ニュースサイト、リテールサイト、そしてWeb 2.0サイトに影響を与えた広範囲にわたるハッキングにより、昨夜遅く、「password」に変更されたようだ。この影響を受けたユーザのほとんどは、同攻撃に全く気付いていない。 現在の統計によれば、影響を受けたユーザの62パーセントは、パスワードが元々「password」であったことから、気が付いていない。 いくつかのサイトが、障害の生じたアカウントを保護するための対策を講じていると報じている。さらに、多くのサイトがパスワードに「password」という言葉を使用することを禁じる、新しいル

    エフセキュアブログ : ハッカーグループが数百万のパスワードを「password」に変更;気付いたユーザは38パーセントのみ

  • 「LastPass」を活用してパスワードを監査・更新する方法 | ライフハッカー・ジャパン

    オンラインのパスワードは、いまや、印鑑や鍵と同じくらい大事なもの。利用するウェブサービスが多くなればなるほど、同じユーザ名とパスワードを使いまわしがちですが、その分セキュリティ面でのリスクは高くなっていきます。 そこで、パスワードを定期的に見直し、安全なものへと更新するための手段として、パスワード管理ツール『LastPass』を活用する方法をご紹介しましょう。 1.LastPassをインストールする LastPassを最初にインストールすると、設定ウィザードで、これまでブラウザに保存してきたパスワードをインポートするプロセスがあります。ブラウザにパスワードを保存させていれば、これらのパスワードはLastPassへインポートされることになります。 LastPassのような第三者サービスに、自分のパスワードを渡してしまうことに不安を感じる人も多いかもしれませんが、このサービスの仕組みについては

    「LastPass」を活用してパスワードを監査・更新する方法 | ライフハッカー・ジャパン

  • ワンタイムパスワードまで盗むフィッシングの手口、複数国で発生 

  • フォーム認証を捨てるメリット - 岩本隆史の日記帳(アーカイブ)

    先日の記事「フォーム認証は当に捨てられないのか」の続きです。 「WebサービスとWebアプリケーションを区別しないとうまくいく」という指針 RESTに関する下記の鼎談動画において「WebサービスとWebアプリケーションを区別しないとうまくいく」という指針が示されています。 動画で配信!「現場で使えるREST」鼎談:第5回 WebサービスとWebアプリケーションを区別しないとうまくいく|gihyo.jp … 技術評論社 私は最近まで、この指針は理想に過ぎず、現実には二者を区別せざるをえないと考えていました。しかし、以下に示す考え方を経て、区別の必要はないと思えるようになりました。 二者が区別される理由 そもそも、そうした指針が唱えられるのは、WebサービスとWebアプリケーションを区別するのが普通だからでしょう。 なぜ、区別するのが普通なのか。認証方式が違うからだと私は思います。それ以外の

    フォーム認証を捨てるメリット - 岩本隆史の日記帳(アーカイブ)
    no_ri
    no_ri 2009/11/21
    Basic認証はパスワードの変更とか大変。使いまわしもちょっと難しい。
    リンク

  • パスワード窃盗ビジネスの内情

    McAfee Avert Labs Blog 「Inside the Password-Stealing Business」より September 24,2009 Posted by Dennis Elser,Micha Pekrul 米マカフィーのウイルス対策技術研究機関Avert Labsは2009年9月24日(米国時間),新たなセキュリティ調査報告書「Inside the Password-Stealing Business:the Who and How of Identity Theft(パスワード窃盗ビジネスの内情:誰がどのように個人情報を盗んでいるのか)」(PDF形式)を公開した。オンライン金融取引が盛んに行われている今日,銀行口座などのパスワードを盗むことはサイバー犯罪者にとって極めて魅力的な行為だ。泥棒は世界中におり,トロイの木馬のようなマルウエアを使ってユーザーのログ

    パスワード窃盗ビジネスの内情

  • オンラインパスワードマネージャって安全か? - TsSoftLab?

    no_ri
    no_ri 2009/11/06
    利用するとすごく便利だけど、本質的な解決策じゃないというところは同意。oauthみたいな認証の一元化とか、パスワードに依存しない手法(証明書とか)が普及すればいいんだけど。
    リンク

  • 第35回 覗き見対策 | WIRED VISION

    第35回 覗き見対策 2009年9月15日 (これまでの増井俊之の「界面潮流」はこちら) パスワードを使って計算機やWebサービスにログインするとき、パスワードは「****」のように伏字で表示されるのが普通です。秘密のパスワードが表示されて他人に見られると大変ですから、このような方法で入力文字を隠すのは当然と考えられていますし、他人がパスワードを入力しているときはキー操作が見えないように別の方を向くのが常識的なマナーだと思われています。 ところがユーザビリティの専門家であるJacob Nielsen氏が6月23日に突然、自分のブログで「パスワード入力の伏字は有害である」と言いだしました。 伏字が有害だとNielsen氏が言った理由は以下のようなものです。 ユーザの操作に対しては常にフィードバックが返るべきである 当にパスワードを盗もうとする奴はキーボードを見るから伏字にしてもあまり意味が

  • yebo blog: パスワードのマスキングはやめるべきだ

    2009/06/29 パスワードのマスキングはやめるべきだ スラッシュドットにも出ていたが、ウェブのユーザビリティ(使い易さ)に関する第一人者ヤコブ・ニールセン氏が「パスワードのマスキングはセキュリティを全く向上させない、むしろログイン失敗で負担が掛かるだけだ」と自身のサイトのコラム Alertbox (日語訳) で述べている。入力時にパスワードがマスクされると誤入力が増えるだけでなく、入力内容を確認できないことからユーザは不安を覚え、必要以上にシンプルなパスワードを設定したり、どこかのファイルからコピペするなどして、逆にセキュリティを低下させるとのこと。ブルース・シュナイアやSANSのブログでもニールセン氏の論に概ね賛成している。シュナイアー氏が言うようにショルダーハッキング (肩越しで入力を盗む) なんて一般的なことではない。ま、パスワードには多くの神話 (定期的にパスワードを変えろ

  • パスワードハッシュはsaltと一緒にハッシュ化する

    (Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連

    パスワードハッシュはsaltと一緒にハッシュ化する

  • パスワード管理ソフト4種類を試す | OSDN Magazine

    Webサイトへのログインで利用するパスワードは、サイトごとに使い分けるのが望ましい。それも、さまざまな種類の文字を組み合わせた長めのパスワードにする方が強力だ。だがそうなると、すべてのパスワードを暗記しておくのは難しい。そんなときに役立つのがパスワード管理ソフトだ。さまざまなWebサイトのパスワードを暗号化してコンピュータ上のファイルに保存し、必要に応じて取り出すことができる。この記事では、4種類のパスワード管理ソフトを紹介する。いずれも、簡単にパスワードを呼び出すことができ、パスワードファイル自体を安全に保護できるものばかりだ。 もちろん、パスワードをコンピュータ上に保存することには、それなりのリスクが伴う。管理ソフト体や暗号化ライブラリにバグがあるかもしれないし、管理ソフトで暗号化データベースに保存するパスワードが実質的に“一蓮托生”の状態となる。つまり、暗号化データベースのセキュリ

    パスワード管理ソフト4種類を試す | OSDN Magazine

  • http://pen-test.jpn.org/links:hp_links

  • phenoelit-us.org

    This domain may be for sale!

  • 「Zipファイルのパスワードを短くするのは危険だよ!」を計算して確認してみた - 元RX-7乗りの適当な日々

    仕事をしていると、何らかの形でパスワード付きのZIPファイルを受け取ることがあるのですが、そのパスワードを教えてもらったときに、思いのほかパスワードが短い(3文字とか4文字とか)ことが多くて驚きます。 何のためにパスワードをかけているのかを考えると、ちょっとした努力で紐解きにくくできるものなら、堅くしておきたいものですよね。 というわけで、短いパスワードのZipファイルがどれだけ危険かを計算してみようと思います。 パスワードに使える文字パターン もっとたくさんある気もしますが、とりあえず前提として、よく使う半角英数字/記号文字ってことで、パスワードに用いる文字列を以下の89種類とします。 abcdefghijklmnopqrstuvwxyz ABCDEFGHIJKLMNOPQRSTUVWXYZ 0123456789 ~@#$%^&*()_+-=[]{},.\"/?:;` パスワードの文字数

    「Zipファイルのパスワードを短くするのは危険だよ!」を計算して確認してみた - 元RX-7乗りの適当な日々

  • Rauru Blog » Blog Archive » パスワードの聞き出し方

  • The page you're looking for is not found, please go to the previous page.

    The page you're looking for is not found, please go to the previous page.

    no_ri
    no_ri 2008/04/15
    RDP用bruteforcer
    リンク

  • パスワードの変更がセキュリティー対策な訳 - novtan別館

    先日の朝日新聞の記事にあった、「サイレント・バンカー」は銀行に取引の正当性についての責任を多く負わせている日の法律の下では銀行にとってのかなりの脅威であると思われます。こういうのはクライアント側で感染しないようにするしか防御手段がないから、ウェブの世界の分断化が進むんじゃないかと思ってたりします。単純にいうと、シンクライアントでウェブではいわゆる取引的なサイトしか使わないPCと、娯楽を含め一般的に利用するPCをわけるとか、そういうの。万全じゃないけど、相対的には安全。この手で言論空間も分断できればいいのにね。 さて、高木先生は相変わらず皮肉が利いていて面白いんだけど、ちょっとだけツッコミ入れてみる。 これまで文系のセキュリティ屋がお経のように唱えてきた『パスワードを定期的に変更せよ』とかいう対策は何の防御策にもならない。 高木浩光@自宅の日記 - 朝日新聞の記事を真っ当な内容に書き直して

    パスワードの変更がセキュリティー対策な訳 - novtan別館

  • コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記

    ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、

    コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記
    no_ri
    no_ri 2008/03/01
    定期的に変えさせると覚えやすいパスワードの使いまわしになったりする。とはいえかなり極論だ。
    リンク

  • MD5のハッシュ値データベースなんぞがあるらしい。 - NullPointer's

    なんとも迷惑極まりないデータベースがあったもんだ。 http://en.yummy.stripper.jp/?eid=719489 http://md5.rednoize.com/ これは厳密には復号とは言わないと思うけど、任意のMD5ハッシュ値を発生させる元データが取得できるので十分脅威的ですね。弱衝突耐性が突破されるってことか。 パスワードのハッシュ値でパスワード検証している場合は、ハッシュ値の流出が事実上パスワードの流出になってしまうわけで。つまりデータベースにハッシュを保存するならば、パスワードに秘密の文字列を結合するとか、パスワードをビット反転するとか、パスワードに何らかのスクランブルをかけてからハッシュ化しないとダメっぽい。 ま、セキュリティにうっさい案件では普通にやってると思うけど。 追記: 有識者によると、もはやMD5は時代遅れなのでSHA512などのハッシュ関数を使った方

    MD5のハッシュ値データベースなんぞがあるらしい。 - NullPointer's
    no_ri
    no_ri 2008/02/27
    rainbow table
    リンク
  • 1 2 次のページ

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.