ANAの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、総計112万マイルがiTunesギフトコードに勝手に交換されていたとするものです。当初顧客の通報で発覚した点はJALの場合と同じですね(参考)。 徳丸: で、私はなにをしゃべればいいのですかね。お招きいただいたので出てきましたが、パスワードがJALは数字6桁、ANAは4桁ですが、それ以外はあまり変わらないのですよね。 高橋: JAL、ANAと事件が続きましたが、攻撃手口は見えてきていないのでしょうか? 徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、
パスワード問合せシステムを作る (clojureのreducers) - Qiita
現在のパスワードを教えてくれるからといって、「平文で保存してる!くぁwせdrftgyふじこlp」と脊髄反射してはいけません。 JALの6桁数字パスワードがどう格納されているか? 古いシステムなのでMD5でハッシュ化していると想定しますが、もちろんsaltは付けているでしょう。 さて、そんなパスワード保管方式で、現在のパスワード問合せに応答するシステムを作ってみます。 パスワードを「567890」、saltを「hoge」として、データベースには"hoge$567890"のMD5値"4b364677946ccf79f841114e73ccaf4f"が格納されているとします。 総当りしてみましょう。 (ns six-length.core (:require [clojure.core.reducers :as r]) (:import [java.security MessageDigest
だからパスワードは重要と言ってるんだ!/理系の人々|【Tech総研】
よしたにです。 パスワードといえば誰にも教えてはいけないものの代名詞ですが、そこはそれ会社はチームプレイですから、パスワードを教えてくれるか今すぐ会社に来るか二者択一を迫られる機会はなんぼでもございます。かくいう私は過去にそういったこともたくさんございまして、今ではパスワードは誰に見せても恥ずかしくない、ものすごい機械的なものになってます。 ……ええ、旅行中にパスワードが原因で後輩の好きな子がバレたことがございましてね。 なんか最近流行ってます、メールにパスワードつきzipを添付して、次のメールでパスワードを送るルール。 かくいう私の会社でも先頃公式ルールとして設定されまして、従ってないのがバレるとちょっと怒られたりするらしいです。 で、メールに添付したzipのパスワードをメールで別に送ってなんの意味があるんですかね。という質問を誰かにしたいのですが、どこにしたらいいんでしょうか。誰もがめ
実現確率に基づいた辞書攻撃をしてみた話 - やねうらおブログ(移転しました)
昨日、4月1日に3月末に退社した社員のパスワード(ここに詳しくは書けない)がわからなくなって困っているという相談をあるお客さんから受けた。 その社員は、そこの上司に個人的な怨恨があるらしく「死ね!」と言い残して辞めていったのだそうだ。パスワードを教えなかったのは何かの腹いせなのだろうか。 ともかく、その社長の許可を取り、私はダメ元で総当り攻撃をしてみることにしたが、1時間ほどやってみて、無理そうだから切り上げ。 次に辞書攻撃をしてみることにした。辞書は英語辞書やWikipedia等から集めてきた私のお手製のものだ。これも1時間ほどやって無理そうだから切り上げ。 辞書の単語の組み合わせも試してみることにした。 私が攻撃に使う辞書はそれぞれの単語のIDなどに出現する頻度を統計的に求めてある。 これを使って、例えば、10%で出現する単語flowerと20%で出現する単語catを組み合わせたflo
パスワードの強度によっておねえさんがエロくなるjQueryのプラグイン Naked Password | TRIVIAL TECHNOLOGIES on CLOUD
みんなのIoT/みんなのPythonの著者。二子玉近く160平米の庭付き一戸建てに嫁/息子/娘/わんこと暮らしてます。月間1000万PV/150万UUのWebサービス運営中。 免責事項 プライバシーポリシー 強度の高いパスワードを作るのは本当にめんどくさい。ならば強度の高いパスワードにはご褒美を与えればいいんじゃないか,と作者が考えて作ったのがNaked PasswordというjQueryのプラグインだ。パスワードの強度に合わせて,おねえさんが豊満な肢体をあらわにするぞ。 このプラグインを使うと,エロい姿のおねえさん見たさに,みんなwell known wordsを避けたり数字を混ぜたりして最強強度のパスワードを登録するようになるので,ハッカークラッカーがパスワード破りしずらくなる。エロは世界を救う。世界を救うjQueryプラグインNaked Passwordをみんな使おう。ただし,強度の
コミPo! で遊んでみる。 - nilnil専用チラシの裏
パスワード定期的変更ネタで。 やっぱり老けキャラモデルが欲しいなぁ。それにしても、セキュリティネタってネーム多くなるなw 元ネタ: CERIAS : Security Myths and Passwords 高木浩光流 インターネットの歩き方(後編) | ITスペシャリストに聞く | 情報セキュリティブログ | 日立システムアンドサービス コメント masa (2008/02/29 18:31) - パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記 d:id:ockeghem 続パスワードの定期変更は神話なのか パスワード定期変更云々 会社を強くする経営者のためのセキュリティ講座:第6回 経営者が注意すべき「パスワードクラッキング」 (1/3) - ITmedia エンタープライズ 【追記】1/4 モデル変更して服を変えた。企業が舞台なのにセーラー服はないだろう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
キングジム、パスワードを200件記憶できるビューワ端末「ミルパス」