[セキュリティ編]パスワード・ポリシーを厳しくしすぎてはいけない
IDとパスワードは,最も基本的でかつ有効な本人確認の方法である。その安全性を高めるには,パスワード・ポリシーをできるだけ厳しくすべきと考える人がいるが,大きな誤解である。 「英字の大文字/小文字,数字の組み合わせが必要で,最後が数字で終わってはいけない」「パスワードは毎月変更する必要があり,過去5世代のパスワードは再利用できない」といったポリシーを設定している例を耳にする。こうした複雑なポリシーを設定すると,パスワードが漏えいするリスクよりも,付せん紙にメモされてしまうリスクの方が高くなりやすい。 パスワード認証を用いる場合に考慮・検討すべき機能項目を表にまとめた。注意が必要なのは,どの項目もやみくもに厳しくしてはいけないということである。ポイントは大きく二つある。(1)利用を強制する文字種類の数を安易に増やしてはいけないことと,(2)パスワードの定期変更を安易に迫っていけないことだ。
![[セキュリティ編]パスワード・ポリシーを厳しくしすぎてはいけない](https://cdn-ak-scissors.b.st-hatena.com/image/square/bed39b5962a5d552c95b6d796db8f55e72d32943/height=288;version=1;width=512/https%3A%2F%2Fxtech.nikkei.com%2Fimages%2Fn%2Fxtech%2F2020%2Fogp_nikkeixtech_hexagon.jpg%3F20220512)
ケータイの流儀を常識と思いこむのは危険 | 水無月ばけらのえび日記
公開: 2009年8月6日14時10分頃 「やはり退化していた日本のWeb開発者「ニコニコ動画×iPhone OS」の場合 (takagi-hiromitsu.jp)」。 iPhone・iPod Touch用の「ニコニコ動画」アプリのサーバ側実装が脆弱だったというお話。iPhoneやiPod Touchの端末製造番号 (UDID) は秘密情報ではない上に詐称可能なのですが、そのUDIDに依存した認証を行っていたため、他人のUDIDが分かると、その人の非公開マイリストなどが見られてしまう……ということのようで。現在は修正されているようです。 脆弱性の話としては、認証方法の不備という単純な話なのですが、むしろ周辺の反応が興味深いですね。いちばん面白いと思ったのがこのブックマークコメント。 ツッコミがたくさん入っていますが、「流儀が違う」というのは、実は全くその通りなのですね。端末固有IDによる
無意識のサイドチャネルアタック - hoshikuzu | star_dust の書斎
セキュリティに興味がある皆様、ぜひお読みください。コンピュータネットワーク世界が成立する前の古い時代からのサイドチャネル攻撃の事例など歴史も学べて非常に面白いです。 最新のテクノロジーではどこまで可能なのかについても。 すでに重要インフラについては防御戦が始まっていることについても。 戦争。塹壕。工兵隊が有線を地中に這わせ情報将校が電話で連絡を取り合い戦術をやりとりする。敵方工作員が遠隔から地中に電極を突き刺し通信を傍受する。 オフィスビルに向かいあうもうひとつのビル。スパイはそのビルから超高解像度の望遠鏡でガラス窓越しにあなたの瞳に反射する光の影を盗み出す。あなたはディスプレイをみつめていた… サイドチャネル攻撃の怖いところは、攻撃を受けている最中でもその痕跡を見出しえないというところにある。ログからの発見などできないのだ、基本的に。 私がパソコンに興味を持って使い始めたときには既にコン
「2009年版 Webアプリケーション脆弱性傾向」ホワイトペーパーお申し込み
お問い合わせの前に 【個人情報ご提供にあたってのご同意事項】 個人情報取り扱い会社の名称 京セラコミュニケーションシステム株式会社 個人情報保護管理者の役職、氏名および連絡先 管理本部副本部長 村上 智 TEL:075-623-0318 個人情報の利用目的 お客様のお申し込みの受け付け、お申し込みへの対応、これらの管理に使用させていただくほか、弊社の製品・サービスまたは弊社のイベント、キャンペーンおよびセミナーに関する情報提供に使用させていただく場合があります。 個人情報の第三者への提供について 弊社は、以下の場合は除いて、あらかじめ同意を得ることなく個人情報を第三者に提供することはありません。 1)法令に基づく場合。 2)人の生命、身体または財産の保護のために必要がある場合であって、本人の同意を得ることが困難であるとき。 3)公衆衛生の向上または児童の健全な育成の推進のために特
モバイル用GWのIPアドレスを気にしてた時代もあったなぁ - とあるモバイル系エンジニアの日々
twitter始めたらすっかりブログ書かなくなってしまいましたがどうしても気になるエントリがあったので久しぶりに。 orangevtr いろいろ認識が甘すぎて唖然とする。IP制限してても今時はクローラーキャッシュからソース読めるし( http://d.hatena.ne.jp/komoriya/20090122/1232619395 )、HTTPヘッダは偽装できないとかいくらなんでも。PHP使いなのにcurl知らないの はてなブックマーク - ke-tai.org > Blog Archive > ソフトバンクの携帯用GatewayをPCで通る方法があるようです はてブでは制限文字超えちゃったのとちょっと言い回しが不遜な感じになってしまったので改めて。 ソフトバンクの携帯用ゲートウェイを、PC経由で通る方法があるとのことです。 扱う情報にもよりますが、ケータイサイトではIPアドレス帯域を制
ke-tai.org > Blog Archive > JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」
JavaScriptとかんたんログインのセキュリティについて解説した記事「携帯JavaScriptとXSSの組み合わせによるかんたんログインなりすましの可能性 」 Tweet 2009/8/5 水曜日 matsui Posted in 記事紹介・リンク | 4 Comments » 昨日に続きセキュリティ関連の話題です。 下記のブログ記事が大変面白く、参考になる良エントリーでしたのでご紹介させていただきます。 → 徳丸浩の日記 携帯JavaScriptとXSSの組み合わせによる「かんたんログイン」なりすましの可能性 [www.tokumaru.org] 今年の5月にドコモから発売されたJavaScript対応端末ですが、販売開始後すぐにソフトウェアアップデートによりJavaScript機能が停止されてしまいました。 上記エントリーでは、この停止の原因となった脆弱性について仮説を立てて検証し
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
