ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
注意 この記事は攻撃の実行を教唆する目的で書かれたものではなく、特定の状況におけるセキュリティ上の問題点を指摘するために公開しているものです。この記事に書かれた内容を実行して発生した結果について、筆者は一切の責任を負いません。 はじめに インターネット上で他人のメールアドレスをmd5で二重ハッシュしたものを公開されている方を見かけたため、解析する実験を行いました。 メールアドレスのユーザー名部分は多くの場合小文字のアルファベットと数字のみ(36文字)のそれほど長くない列で構成されており、ブルートフォース攻撃(総当り攻撃)によって簡単に特定できてしまうと考えられます。 またドメイン部分に関しても、一般の方が使うメールプロバイダが限られていることを考慮すると、サイズの小さい辞書でも十分な確率で当たるものと考えられます。 実験 今回はhashcatという、GPUでハッシュ値を解読するソフトウェア
Latest topics > 古代のブラウザ戦争の歴史:MD5ハッシュ化された投稿の機密解除 - outsider reflex
Latest topics > 古代のブラウザ戦争の歴史:MD5ハッシュ化された投稿の機密解除 宣伝。日経LinuxにてLinuxの基礎?を紹介する漫画「シス管系女子」を連載させていただいています。 以下の特設サイトにて、単行本まんがでわかるLinux シス管系女子の試し読みが可能! « 「ツリー型タブ」が、Firefoxのアドオン管理画面にオススメとして表示されるようになりました Main 私達はここまで来た » 古代のブラウザ戦争の歴史:MD5ハッシュ化された投稿の機密解除 - Jun 06, 2018 Robert O'Callahan氏(Mozilla内では愛称の「roc」でもっぱら通っていたようです)が1月に公開されたブログ記事をえっちらおっちら勝手に訳してみました。多分誤訳してる所があると思うので、間違いを見つけた人は指摘して頂けると幸いです。 roc氏はFirefox以前から
電子手帳サービス「Lifebear」を提供するライフベアや、予約管理サービス「Coubic」を提供するクービックが2019年3月後半、相次いで情報漏洩を発表した。どちらもサービスのユーザー認証に使うアカウント情報(IDとパスワード)の漏洩を、外部から指摘されて気付いたとしている。 この両社の発表には、気になる内容が含まれていた。 ライフベアは、漏洩したパスワードは「不可逆な暗号化された状態」であり、「それらの情報を使って第三者にログインされることはありません」と断言した。不可逆な暗号化は、ハッシュ化を指すとみられる。 クービックは、パスワードはハッシュ化した状態で漏洩したと説明した。さらにハッシュについて「規則性のない固定長の値を求め、その値によって元のデータを置き換えることで、元のパスワードを読み取れなくする、パスワードの安全な保管で用いられる方法です」と付け加える。
SHA1でハッシュ化したパスワードは危険になった
(Last Updated On: 2018年4月3日)パスワードを平文で保存するのは論外で、MD5やSHA1でハッシュ化するのは当たり前です。しかし、SHA1を2000倍早くクラックする方法などが発見され「SHA1は脆弱だ」(ちなみにMD5はもっと危険)とされてからしばらく経ちます。アメリカ政府や大手企業はSHA1は使わない、としています。 Slashdot.orgにまた載っているので更に高速化できた、ということか? 参考: RainbowテーブルによるMD5ハッシュのクラック(英語) RainbowテーブルによるSHA1ハッシュのクラック(英語) 前のエントリ PostgreSQLでSHA1 でPostgreSQLでSHA1を使う方法の一つを紹介していますが可能であればSHA512など、より強いハッシュ関数を利用したり、Saltを利用する、等の方法を採用した方が良いと思います。 備考:
パスワードはハッシュ化して保存していても簡単に見えちゃう問題と対策用Gemのblinkersについて
freeeのkakkunpakkun(略してkp)といいます。マイクロサービスおじさんです。 freeeではモバイルバーサーカーとかフロントエンド革命家など、独自の名前が多いですが、私は「分割おじさん」「認証おじさん」「rspecおじさん」などと呼ばれたりしてきました。 バーサーカーや革命家と比べてかっこ良くないのがなんだか気になる今日このごろです。 今日はおじさんらしく細かくて面倒な話をして、その対策としてfreeeで使ってるgemを公開したのでその説明をしようと思います。 パスワードはDBでハッシュ化していても簡単に見えてしまう 「パスワードが見えてしまう」というのはすごい不安になる言葉ですが、あまり考えずにサービスを開発していると簡単に起こる事象です。 ではどこでそういうことが起こりやすいのでしょうか。 DBにハッシュ化したパスワードを保存するのはかなり一般的になり、各種ライブラリも
12月21日、ハッシュアルゴリズム「BLAKE2」とそのCおよびC#実装が公開された。BLAKE2はMD5やSHAといったハッシュアルゴリズムの代替として利用できるもので、セキュリティに優れ高速に動作するのが特徴という。 BLAKE2は、与えられた入力に対し指定されたビット長のハッシュ値を生成するためのアルゴリズム。既存のハッシュアルゴリズムであるMD5よりもセキュリティに優れ、かつSHAよりも高速に処理を実行できるのが特徴という。 同様のハッシュアルゴリズムとしてSHA-2やその後継となるSHA-3(Keccak)などがあるが、BLAKE2はSHA-3アルゴリズムの候補の1つであったBLAKEを改良したものとなっている。BLAKE2はSHA-3やBLAKEと同等のセキュリティを備えつつ、64ビット環境においてMD5と同等の速度で動作し、SHA-2やSHA-3と比べて33%少ないメモリで動
パスワードをソルトつきハッシュ化してDBに保存するのがベストプラクティス…とは限らないという話 - kazuhoのメモ置き場
フレームワークの責務とセキュリティ - MugeSoの日記についての感想文です。 世の中にはたくさんの通信プロトコルが存在し、中には、特定の条件でパスワードを含む文字列をハッシュ化した値を検証しなければならないものも含まれています。 例えば、HTTP Digest認証の場合は、MD5("realm:user:password")を保存しておく必要がありますし、APOPの場合は生のパスワードを、CRAM-MD5の場合はMD5("password")を保存しておく必要があったはず。 で、こういった様々なプロトコルに対応可能な認証データベースを準備しようとすると、パスワードを復号可能な方式で保存しておく必要があります*1。 ただ、パスワードを復号可能な方式で保存するとか、開発者あるいは管理者としてやりたくないというのはもちろんそうなので。で、長期的には世の中どこへ向かってるかというと: 選択肢a
Dropbox はソルトとペッパーを利用 次の Dropbox 技術ブログによると、2016年9月時点の Dropbox は、パスワードをソルト化とペッパー化のコンボで保存していました。 How Dropbox securely stores your passwords - Dropbox 具体的には パスワードを SHA512 でハッシュ化 このハッシュ値をソルトとともに bcrypt でハッシュ化 最後にペッパーを鍵に AES256 で暗号化 というようにパスワードを多段で保護してデータベースに保存していました(AES256(BCRYPT(SHA512(PASSWORD) + SALT), PEPPER))。 ※ 図はブログ記事より引用 Dropbox はあくまでもペッパーの実例として紹介しました。 bcrypt の項でお伝えしたように、bcrypt 処理前にパスワードをハッシュ化す
2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。 Googleの発表 cloud.google.com この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。 無料のGoogle アカウントへの影響はない。 2つの問題が確認され、いずれも修正されている。 問題を悪用した兆候は確認されていない。 確認された2つの問題 No 発生原因 保存内容 影響期間 問題① 管理コンソールのパスワード設定・復元機能バグ パスワード平文のコピー 2005年以降 (問題のツールは削除済) 問題② ユーザーサインアップ時の暗号化された内部システムへの誤保存 パスワード平文の一部 2019年1月以降 (保存は最大14日間) Googleは問題①を20
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化:ITお嬢様の今日も分かりませんわ~!(1/4 ページ)
2019/12/29 追記 いまでもこの記事が時々参照されています。Googleなどからこの記事へとやってきた方は、パスワードか何か重要な情報をどう保存するか?ということを考えておられるかもしれません。もしそうであれば、ぜひこの記事のコメントも記事を読んだあとに参照していただきたいと思います。徳丸さんをはじめとして僕よりもはるかに知見のある方の考えなどもあります。ハッシュ化されたパスワードは、もしかしたら今これを読もうとしておられる方が作っているアプリケーションよりも長きにわたって利用されるかもしれません。少々の時間をいただきますが、そういう理由でぜひコメントのディスカッションも参考にしたうえで今できる最良のセキュリティーを実装していってください はじめに この記事ではパスワードを保存する際によく用いられるソルトとハッシュ関数を使うやり方について、なぜそれが微妙であるかを解説した後に、それ
パスワードハッシュはsaltと一緒にハッシュ化する
(Last Updated On: 2013年11月6日)このタイトルにするとsaltとは、という議論をもう一回する事になるのかもしれませんが、最も近い用語はsaltだと思うので、saltを用語として使います。 随分前からパスワードハッシュはユーザが提供したパスワードと、システムが保持している秘密のランダム文字列と一緒にハッシュ化する方がより安全である、と言っていました。異論がある方もいらしたのですが、どうしてより安全となるのか、場合によっては比べ物にならないくらい安全になるのか、良く分かるビデオを見つけたので紹介します。 (音が大きいので注意!) このビデオを見ると、SQLインジェクションでWebフォーラムのハッシュ化ユーザパスワードを盗み取り、レインボーテーブルを提供しているサイトを利用して「ランダム文字列のパスワード」を解析し、SQLインジェクション情報を提供していたセキュリティ関連
ハッシュ化と暗号化は違う。ハッシュ化(SHA1,MD5)すると、元には戻らない - ウィリアムのいたずらの、まちあるき、たべあるき
ウィリアムのいたずらが、街歩き、食べ物、音楽等の個人的見解を主に書くブログです(たま~にコンピューター関係も) あ~、私の周りで、ハッシュ化と暗号化の違いが分かってない人が 多く居るので、ここで、はっきりさせておこう ■分かってない事例 【事例1】日経コンピューター2014年2月20日号 p64 動かないコンピューター 厚生労働省 約1600万人のメタボ検診データを生かせず 入力時に全角/半角が混在し、突合不能に に対して、全角/半角変換なんて、簡単ジャン!という意見 (記事中に、全角/半角部分含めて「ハッシュ化して」IDとし、 それを突合していると明確に書かれているし、図まで付いている) 【事例2】ある日のこと このSHA1の復号化はやいですね。瞬時に、もとのパスワードを 返してきますよ! ・・・なわきゃーない(^^;) ■ハッシュ化と暗号化の違い まず、ハッシュ化とは、入力値をハッシュ
LINEは7月19日、「NAVERまとめ」などNAVERブランドのサービスに外部から不正アクセスがあり、169万2496件のユーザーのIDとメールアドレス、ハッシュ化されたパスワードが流出した可能性があると発表した。対象サービスは18日午後8時に全アカウントのログインを遮断し、一部サービスを停止。19日午後9時に新しいパスワード再設定機能を設置し、サービスを再開する予定だ。 対象は日本国内のNAVERサービスで、「NAVERまとめ」「Nドライブ」「NAVER Photo Album」「pick」「cafe」の5つ。LINEやlivedoorブランドのサービスには影響がなく、TwitterやFacebookなどでログインするOpen ID認証システムで生成されたアカウントは対象外。 18日午前10時9分、NAVERアカウントのデータベースを管理しているサーバに不正アクセスの可能性があることを
ハッシュ化すれば安全か?
パスワードのファイルは、可逆暗号化するだけでは不足であり、不可逆暗号化であるハッシュ化が必要だ、という見解がある。 可逆暗号化では、暗号化の解読が可能だが、ハッシュ化ならば、暗号の解読はできないからだ、という理屈だ。 → https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html しかし、それは正しくない。たとえハッシュ化しても、ハッシュ化の解読は可能である。 それには、次の方法を取る。 「文字列の組み合わせ(総当たり)のハッシュ化をしたリストを得る」 たとえば、 8桁以下の英字(大小)の組み合わせのすべてに対して、そのハッシュ化をしたリストを得る。 こうした一覧リストを得れば、ハッシュ化されたデータファイルから、元のパスワードを復元することが可能である。 ※ 全員が復元できるわけで
ユーザーが設定可能なパスワードの最小文字列長は8けた以上が54%だったが、4けた以下の企業も14%あった。パスワード保管時に暗号化している企業は71.5%、ハッシュ化は57.2%が行っていた。ハッシュ化は有料サービスを提供企業の72%が実施しているのに対し、無料のみのサービスは30%にとどまった。 ハッシュ化を行っている企業に、ハッシュ化前のパスワードに文字列を追加するソルトと、ハッシュ化を繰り返すストレッチングを行っているか聞いたところ、50%がソルト・ストレッチングいずれかを行っており、ソルトの実施率が44%、ストレッチングが25%だった。 同一IDに対するログイン試行回数の制限は82%の企業が導入している一方、同一IPアドレスからのログイン試行回数の制限を実施している企業は43%にとどまった。 2段階認証を導入している企業は43%。通常と異なるIPアドレスやタイムゾーンからのログイン
MD5やSHA、Base64機能を提供するActionScript3用暗号&ハッシュ化ライブラリ「As3Crypto」:phpspot開発日誌
MD5やSHA、Base64機能を提供するActionScript3用暗号&ハッシュ化ライブラリ「As3Crypto」 2008年04月10日- AS3 Cryptography Library As3 Crypto is a cryptography library written in Actionscript 3 that provides several common algorithms. MD5やSHA、Base64機能を提供するActionScript3用暗号&ハッシュ化ライブラリ「As3Crypto」。 ActionScript3上で、MD5や、SHA1,224,256、RSA、AES, DES, 3DES, BlowFishなどの暗号機能を提供するライブラリです。 これら暗号化方式だけでなく、Base64エンコード/デコード機能も提供。 バイナリ列をBase64化してサー
本記事は拙ブログ記事「暗号化とハッシュ化に関する基本的な事柄まとめ - the world as code」のリファイン版です。 暗号化とハッシュ化は違う。暗号化はデータの秘匿を目的としており、適切な鍵を用いることで復号が可能。ハッシュ化はデータの置換がそもそもの目的であり、ハッシュ関数により一定のフォーマットへ不可逆の変換を行う。 ただし、衝突耐性を持つことなどにより、セキュリティ用途に適する「暗号学的ハッシュ関数」というものもあるらしい。デジタル署名やメッセージ認証符号への使用を目的とされており、逆にチェックサム等に使用するには計算が「重い」。 アルゴリズム RSA 公開鍵暗号。素因数分解の計算難度を根拠としたもの。なおRSAは発明者の名前から取られたものであり、何かの略ではない。 SSHログイン時の鍵認証やSSL認証など、広く使われる。 秘密鍵生成コマンドとしてopenssl gen
フリー開発者に登録フォームを作成させたところ半分以上がパスワードをハッシュ化しなかったという研究結果 | スラド セキュリティ
43人のフリーランス開発者を対象にWeb登録フォームを作らせるという調査を行ったところ、そのうち26人がパスワードを平文保存していたという論文が発表された(柴田淳氏のTweet)。 この論文では、開発者を次の4グループに分けて依頼を行った。その結果、22歳から68歳の43人の開発者がこの「業務」を請け負ったという。 報酬100ユーロ、「パスワードを安全に保存するように」との指示あり報酬200ユーロ、「パスワードを安全に保存するように」との指示あり報酬100ユーロ、「パスワードを安全に保存するように」との指示なし報酬200ユーロ、「パスワードを安全に保存するように」との指示なし その結果、ハッシュ関数を使って不可逆な形でパスワードを保存したのは17人の開発者のみで、残りの26人は可逆的な暗号化もしくは単純なBase64エンコーディングでパスワードを変換して保存していたという。また、可逆的な暗
【2009/01/27 追記】 このエントリは間違っているので、次のエントリも併せてご覧ください。 [PHP]パスワードのハッシュ化にはcrypt を使ってはいけない パスワードをDBに保管するとき、プレーンテキストのままじゃダメってのはもういいよね。 (参考)ブログが続かないわけ | パスワードを平文で管理するのはダメだ で、そのときどうやってハッシュ化するかというお話。 まず、大前提として復号可能な暗号は避けた方がいい。パスワードを復号しなければならないというシーンはほとんどないので、それであれば復号できない方がセキュリティ上安全だからだ。復号できない方式でハッシュ化すれば、もう、誰にもパスワードはわからない状態になるからね。 やり方としてありがちなのはMD5 によるハッシュ化 $pass = 'my password'; $pass_hash = md5($password); //
![[PHP]パスワードのハッシュ化にはcrypt が便利 | ブログが続かないわけ](https://cdn-ak-scissors.b.st-hatena.com/image/square/2302e44c95c7e474fefb218540004f95dc47a4bb/height=288;version=1;width=512/https%3A%2F%2Fimaging.jugem.jp%2Ftemplate%2Fimg%2Fjugem_og-image.png)
パスワードはハッシュ化するだけで十分?
2016年はパスワード流失のニュースが相次ぎました。また2017年7月には流出したパスワードが悪用されたとみられる事例も報道されています。「暗号化」や「ハッシュ化」しておけば安全だったのに、と思われたでしょうか?今回はパスワード流出事例や、パスワード保存時の対策について取り上げます。 2016年9月、米ヤフーから5億件以上のハッシュ(※1)化されたパスワードを含むユーザーアカウント情報が流出(※2)、さらにDropboxから6,800万件以上(※3)のパスワードが流出していたと報道されました。パスワードが流出しても、「暗号化」や「ハッシュ化」されていれば問題ないのでは、と思われた方もいるかもしれません。ところが、暗号化やハッシュ化されたパスワードから元のパスワードが割り出されてしまう事例は多数確認されています。 ※1 ハッシュ(ハッシュ値) 任意の文字列から規則性のない値を生成するアルゴリ
『ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】』へのコメント
<blockquote class="hatena-bookmark-comment"><a class="comment-info" href="https://b.hatena.ne.jp/entry/4716770064637993794/comment/blueboy" data-user-id="blueboy" data-entry-url="https://b.hatena.ne.jp/entry/s/www.itmedia.co.jp/news/articles/2203/15/news172.html" data-original-href="https://www.itmedia.co.jp/news/articles/2203/15/news172.html" data-entry-favicon="https://cdn-ak2.favicon.st-hatena.
最終回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析 ハッシュ化されたパスワードの解析速度 最終回は、ハッシュ化されたパスワード解析の検証結果を紹介したいと思います。前々回記載した通り、使用したツール名等は公表しませんが市販されているツールを利用しています。検証はブルートフォース攻撃を想定したものであり、他の攻撃手法に関する検証は行っていません。 検証結果の表について ・ブルートフォースで全パターンを解析するのにかかる時間を記載しています。 ・解析時間が1ヶ月未満のものを赤色にしています。 ・解析時間が1ヶ月以上1年未満のものを黄色にしています。 【掲載予定】 第1回:GPGPUと解析マシン 第2回:暗号化ファイルと無線LANパスワード解析スピード 最終回:ハッシュ化されたパスワードの解析スピード ハッシュとは? ハッシュまたはハッシュ値とは、あるデータを
API名のハッシュ化テクニックを理解せよ!:リバースエンジニアリング入門(6)(1/3 ページ) コンピュータウイルスの解析などに欠かせないリバースエンジニアリング技術ですが、何だか難しそうだな、という印象を抱いている人も多いのではないでしょうか。この連載では、「シェルコード」を例に、実践形式でその基礎を紹介していきます。(編集部) 一筋縄にはいかないAPI名の取得 第5回「PEフォーマットを解釈せよ!」までで、download_execのシェルコードを一通り読みきりました。特に、前回はたくさんのアセンブリコードを読みましたので、だいぶ解析に慣れたのではないか思います。 さて、今回はdownload_exec以外のシェルコードを読みながら、シェルコードでよく用いられるAPI名ハッシュ化テクニックを解説します。ここではシェルコードで使われる一例として解説しますが、マルウェアにはこういった類の
G Suite をご利用されているお客様の未ハッシュ化パスワードの保管についてのお知らせ | Google Cloud 公式ブログ
Google では、ユーザーのセキュリティを確保するため、パスワードを保存する際は暗号学的ハッシュ関数を用いることをポリシーとしています。しかしながら、この度、一部の法人向け G Suite のお客様に対して、ユーザーのパスワードがハッシュ化されない状態で、暗号化された社内システム内に保管されていた旨をお知らせいたしました。本件は、法人向けの G Suite ユーザーのみに影響を与えるものであり、無償で提供している一般向けの Google アカウントのユーザーに影響はありません。法人向け G Suite の管理者の皆様にはすでに、社員に対してパスワードのリセットを実施いただくようご案内致しています。また同時に、本件に関して徹底した調査も実施し、現時点で G Suite 認証情報に対する不正なアクセス、および誤用の形跡はありませんでした。 一般ユーザーおよび G Suite 法人ユーザーのG
本記事ではスコープ外なので解説しませんが、実用上はストレッチングも用いたほうが良いです。 ハッシュ化とは ハッシュ化とは、元データ(文字列)をハッシュ値(文字列)に不可逆変換することを指します。 ハッシュ化を実行する関数をハッシュ関数と呼びます。 ハッシュ関数は様々な種類があり、md5やsha-256,sha-512,bcryptなどが有名ですが、今回はmd5を使用します! md5関数を使用した例を下記に示します。 <?php print ('ガンダム: '.md5('ガンダム')."\n"); print ('ガンキャノン: '.md5('ガンキャノン')."\n"); print ('ガンタンク: '.md5('ガンタンク')."\n"); ?> //結果 ガンダム: e87f1086f7bf9f59f1ec0b2dd2f320a4 ガンキャノン: e44e4ca716d4df9d1d
森永製菓は6月18日、同社のサーバ機器が外部からの不正アクセスを受け、同社とグループ会社の役職員などの4882件の個人情報が外部へ流出したおそれがあると発表した。 氏名や社内システムのログインID、ハッシュ化したパスワードが含まれていたという。 侵入経路は特定・遮断しており、不正使用などの二次被害は確認していないとしている。 漏えいしたおそれがあるのは、同社とグループ会社の役職員、委託業務従事者の個人情報(退職者、元従業者の一部も含む)4882件。 氏名と会社名、部署名などの所属、社用メールアドレス(@morinaga.co.jp/@morinaga.com)、社内システムのログインID、ハッシュ化したパスワードが含まれていた。 4月9日にサーバーで不審な動作を認知して判明した。現在、外部の専門機関による調査を進めており、個人情報が流出した明確な証拠は見つかっていないが、「漏えいの可能性を
はじめに インターネット上から収集した画像をもとに機械学習のデータセットを作成するとき、重複した画像の削除が必要です。訓練データに重複した画像があるならまだ良いですが、訓練データ・テストデータの間で重複した画像があると、いわゆるleakageが起きてしまいます。 画像の重複を検出する方法として最も単純なものは、MD5などのファイルのハッシュ値を利用することです。しかしながら、ファイルのハッシュ値は、あくまでも画像ファイルのバイナリ列をハッシュ化したものであり、同じ画像でも保存形式や圧縮パラメータを変えただけでも変化してしまい、検出漏れにつながります。 そこで本記事では、画像の特徴そのものをハッシュ化するアルゴリズムを紹介するとともに、簡単な実験を通してそれらハッシュ化アルゴリズムの特性を見ていきます。 画像のハッシュ化アルゴリズム Average Hash (aHash) 画像の特徴(輝度
Javaでパスワードをハッシュ化するのに良い方法を調べたのでメモしておく 要件・方針 必要な全情報が攻撃者の手に入ってオフラインで解析されても困らない。 強力なHASH関数と、アカウント毎に違うSalt、そしてストレッチングが必要。 SaltはHASH化されたパスワードと一緒に保管してOK Saltとストレッチングの処理は、独自実装ではなく既存のアルゴリズムの既存実装使う PBKDF2 とか Bcrypt, Scrypt など。 JCA(Java Cryptography Architecture) が利用出来るなら最善だろう。そうでなければ著名プロジェクトの物を使いたい 参考 http://www.f-secure.com/weblog/archives/00002095.html 日本語訳:http://blog.f-secure.jp/archives/50564743.htm *「
as3crypto: MD5やSHA、Base64機能を提供するActionScript3用暗号&ハッシュ化オーポンソースのライブラリ | DigiTechLog Dot Com
郑州展柜制作有限公司 郑州泰达展柜有限公司是国内较知名的展柜制作企业之一。是展柜、展示柜、药柜、化妆品展柜等展柜订做的专业生产厂家,公司主要产品有展柜、钢木结合展柜、产品展示柜、化妆品展柜、展示架、货架、鞋柜、烟酒柜台、化妆品背柜、化妆品高柜、化妆品形象柜、化妆品展示柜、中岛柜、药店展柜(中草药展柜)、补品药柜、参茸滋补品展柜、草药柜、虫草柜、冬虫夏草展柜等展台展柜定制。 郑州泰达展柜厂是拥有雄厚的技术实力和丰富的生产经验之一的展柜制作公司/展柜制作工厂/展示柜定做厂家/展示柜生产厂家,产品畅销目标为31个省市,自治区,主要包括河南省内的郑州、开封、洛阳、平顶山、焦作、鹤壁、新乡、安阳、濮阳、许昌、漯河、三门峡、南阳、商丘、信阳、周口、驻马店、济源等市区及县城,乡镇。我们设计的展柜产品深受国内购买过展柜的客户的好评,部分展柜还准备参加一些国际展览展示会进行宣传推广。 1、材料选择:MDF密
Neutral8✗9eR @0x009AD6_810 (第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い)filesend.to 2019-01-28 23:00:49 リンク www.filesend.to 無料大容量ファイル転送サービス「宅ふぁいる便」 1999年から運用の無料大容量ファイル転送サービスのパイオニア。300MB迄でファイル容量無制限、256bitTLS・SSL暗号化送信対応。iPhone・iPadやAndroid等のモバイル端末間でのファイル転送も可能
Google AdWordsのカスタマーマッチで使いたい、メールアドレスのハッシュ化(SHA256ソルトなし)マクロ
こんにちは! Google AdWordsのアップデートが目まぐるしい近頃ですが、2015年10月以降に順次「カスタマーマッチ」がローンチされます。これによって、Google 検索、Gmail広告、YouTube広告のキャンペーンで「顧客のメールアドレス」を基にして広告を配信したり、その類似ユーザーを生成できるようになりました。これによって顧客のメールアドレスを扱うことになりますので、広告運用にもセキュアな環境が求められるようになるわけです。 今回はカスタマーマッチを利用するときのセキュリティリスクとその対策について考えてみます。 顧客のメールアドレスを扱うということカスターマッチの登場によって「リアルな顧客情報を広告に活用できるようになる」ということになりまして、今までのリスティング広告で利用できた各種ターゲティングよりもよりもさらに「個」に重点を置いたターゲティングが可能になったことを
photo by wolfpix ʕ ◔ϖ◔ʔ < Go is God. 文字列からハッシュを生成して返す関数 パスワードを生の文字列のまま保存してはならない(いましめ)。 パスワードを平文で送ってくるっぽいサイトまとめ 今まではフレームワークが勝手にやってくれてる的な状態に頼ってたんですが、自分でやらないといけない空気を感じたので自分でやらないといけないようです。 最初にささっと書いたのがこれです。 import ( "encoding/hex" "crypto/sha256" ) func toHash(password string) string { converted := sha256.Sum256([]byte(password)) return hex.EncodeToString(converted[:]) } 文字列からsha256ハッシュを求めて、出てきたバイトを文字
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
何故パスワードをハッシュ化して保存するだけでは駄目なのか? - NRIネットコムBlog
メールアドレスをハッシュ化したものを公開してもよいのか - しまたろさんの掃き溜め
「ハッシュ化したから安全」と主張するのをそろそろやめようか
パスワードをハッシュ化(暗号化)保存することを法律で義務化するくらいのことが必要だと思う
MD5やSHAの代替として利用可能な新たなハッシュ化技術「BLAKE2」登場 | OSDN Magazine
OWASPに学ぶパスワードの安全なハッシュ化 | DevelopersIO
ヤフー、ハッシュ化されたパスワードと秘密の質問、148.6万件も流出した可能性
ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた - piyolog
“ハッシュ化”行っていないサービスが4割以上、総務省がID・パスワードの管理・運用実態を調査
「パスワード平文保存って何か問題あるんですの?」 ITお嬢様と学ぶハッシュ化
ソルトとハッシュ関数だけでパスワードをハッシュ化するのが微妙な理由 - Qiita
[PHP]パスワードのハッシュ化にはcrypt を使うべき | ブログが続かないわけ
NAVERに不正アクセス 169万件のメアドとハッシュ化されたパスワード流出か
不正ログイン「受けたことがある」3割、パスワードハッシュ化「していない」4割 総務省のWebサービス企業調査
暗号化とハッシュ化に関する基本的な事柄まとめ - Qiita
ソニーPSN漏えい事件、パスワードはハッシュ化、具体的な脆弱性は非公開(ソニー) | ScanNetSecurity
[PHP]パスワードのハッシュ化にはcrypt が便利 | ブログが続かないわけ
サイバーフォレンジックセンター通 第3回:ハッシュ化されたパスワードの解析速度 | dit+ | ディアイティ プラス
API名のハッシュ化テクニックを理解せよ!
ハッシュ化のソルト(salt)とペッパー(pepper)についてまとめた - Qiita
森永製菓、職員など4882件の情報漏えいの可能性 社内システムのIDやハッシュ化パスワードなど
同一画像を判定するためのハッシュ化アルゴリズム - Qiita
Javaでパスワードをハッシュ化するのに良い方法を調べてみた - Qiita
暗号化とハッシュ化は別物『ハッシュ化は非可逆』がよくわかる例がこちら「最後に塩をまぶしますよね」
Go言語でパスワードとかのハッシュ化 - タオルケット体操