パスワード定期的変更の効能について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える | スラド セキュリティ
IPA(情報処理推進機構)が、て「ID・パスワードのセキュリティ対策」をテーマとした広告企画コンペを行うようなのだが、「ID・パスワードのセキュリティ対策」の内容が話題になっている(公募要領PDF)。公募の内容は以下の様なもので、セキュリティを啓蒙する広告自体に異論は無いのだが、突っ込まれているのは「ID・パスワードは定期的に変更する」というところだ。 以下の対策事例いずれかを用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画・実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可) ・「ID・パスワードは定期的に変更する」 ・「サービスごとに異なるパスワードを設定する」 ・「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」 Twitter上ではこの「パスワードの定期的な変更」について議論になっていたが(twitterセキュリティネタま
Basic認証とOAuth - Qiita
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
ブラウザのパスワード保存と自動フィルイン - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、開発部の渡辺です。 「最近、パスワードインプットのautocomplete属性周りが盛り上がってるよ、ちょっと調べてよ」という話を頂いたので、現時点での各ブラウザの挙動をさっくりと調べて結果を記します。 背景 6月にリリースされたFirefox 30の対応によって、ほとんどのモダンブラウザではautocomplete=offにしてもパスワードマネージャへの保存を禁止することはできなくなりました1。 しかし、保存されたパスワードがインプットにフィルインされる挙動はブラウザごとに微妙に異なります。すでに幾つかの記事2で言及されている内容ではありますが(二番煎じ感に溢れててごめんなさい)、複数のブラウザで動作を確認する中で、様々な条件があったので、それらをまとめてみようと思います。 調査内容 今回調べる具体的な内容は、「ブラウザに保存されたパスワードが自動フィルインされる条件」です。
【LINE】ログインに必要な「PINコード」の初期値の決定方法について
LINEのログイン時の認証に、PINコードが導入されることになりました。このPINコードには初期値があるのですが、これについてちょっと触れておきます。 目次 1. LINE PINコード2. LINE PINコードには初期値がある3. LINE PINコードの初期値は電話番号の下4ケタ4. 電話番号って流出してないの?5. 電話番号は流出していないと知っているからこの初期値にした?5.1. どうやって流出元を調べたんだろう6. でも、今後また流出した時にどうなるかはわからない(電話番号も流出するかも)7. PINコードで対策すると決めたなら、初期値はすごく良い8. PINコード以外はなかったのか9. 追記:PINコードが予定通り導入されず スポンサーリンク LINE PINコード 公式アナウンスによると、現在流行しているリスト型攻撃を用いた乗っ取りの対策として、PINコードが導入されます(
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
sshによるユーザ列挙攻撃"osueta" - ろば電子が詰まつてゐる
ものすごく遅いレポートですが、先日、ゆるふわ勉強会こと さしみjp ささみjpの#ssmjp 2014/06 に参加させて頂きました。 この中で、@togakushiさんの発表「OpenSSH User EnumerationTime-Based Attack と Python-paramiko」が面白かったのでそのメモです。 osuetaとは何か OpenSSHでは、パスワード認証の際に長い文字列(目安で数万文字)を与えると、存在するユーザと存在しないユーザの場合で応答速度が変わってきます。環境によりこの時間差は結構違うようですが、私の試した範囲では、 存在するユーザの場合は数十秒 存在しないユーザの場合は数秒 で応答が返りました(この応答速度は目安です、もちろんマシンスペックによって違うでしょう)。これにより、複数のユーザでsshログイン試行をおこない、その応答時間を計測することでユー
個人情報を含むノートパソコンの紛失に関するお詫びとご報告 | サイボウズ株式会社
この度、弊社におきまして、お客様、お取引企業様の氏名・電話番号を含む業務用ノートパソコンの紛失事故が発生いたしました。平素よりご愛顧いただいております弊社のお客様およびお取引先企業様、関係者の皆様に多大なご心配、ご迷惑をおかけすることとなりましたことを心より深くお詫びいたします。 本件に関する経緯および対応について、以下のとおりご報告申し上げます。 なお、紛失したノートパソコンは翌日回収しております。 変更履歴 2014年6月24日:セキュリティ対策ソフトの不具合と対応状況について、7~9を追記しました。 1.紛失の経緯 平成26年5月13日18時50分頃 弊社の従業員が列車で移動中、業務用ノートパソコンを入れた紙袋を列車内に置き忘れ、紛失いたしました。 その後、直ちに列車の遺失物センターに連絡、追って警察に紛失届を提出いたしました。 同日21時43分頃~58分頃 弊社の情報システム部にて
ANAの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、総計112万マイルがiTunesギフトコードに勝手に交換されていたとするものです。当初顧客の通報で発覚した点はJALの場合と同じですね(参考)。 徳丸: で、私はなにをしゃべればいいのですかね。お招きいただいたので出てきましたが、パスワードがJALは数字6桁、ANAは4桁ですが、それ以外はあまり変わらないのですよね。 高橋: JAL、ANAと事件が続きましたが、攻撃手口は見えてきていないのでしょうか? 徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
「JALマイレージバンク」に不正ログイン、マイル盗む 数字のみパスワードの強化策は「検討していない」
日本航空(JAL)は2月3日、「JALマイレージバンク」のWebサイトに不正ログインがあり、一部ユーザーのマイレージが第三者によって引き落とされ、Amazonポイントに交換されていた可能性があると発表した。被害拡大を防ぐため、全ユーザー2700万人にパスワードの変更を呼びかけている(解説記事:JALマイレージバンクの不正ログイン、セキュリティと便利性のバランスが問題に?)。 1月31日~2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談があり、調査したところ、不正ログインの可能性があることが発覚。2日午後4時以降、マイルをAmazonポイントに交換するサービスを停止した。 ログを調査したところ、不正ログインを受けた可能性があるユーザーは60人。申告のあった7人の被害額は合計数十万円程度という。不正ログインの経緯は分かっていないが、現在のところ、同社サ
サービス終了のお知らせ - NAVER まとめ
サービス終了のお知らせ NAVERまとめは2020年9月30日をもちましてサービス終了いたしました。 約11年間、NAVERまとめをご利用・ご愛顧いただき誠にありがとうございました。
パスワードの強度をチェックするシンプルなObjective-Cモジュールをつくった - laiso
PWSResult result = [PWStrength validateWithPassword:@"Myp@ssw0rd!"]; result.complexity; // 0.0f-1.0f result.valid; // YES or NO https://github.com/laiso/PWStrength これ。 モバイルアプリファーストで作ったシステムってなんかアカウント作成フローが簡便化されてるのが多いと思う。 メール到達確認ないものとか、IDパスのみでアカウント作成してすぐ使えるとか。 パスワードを二回入力させて整合性チェックとかやっぱりモバイルで使うのはめんどくさいんだけど、このへん各社どうしているんだろう。 今までパスワード入力時には禁止文字とか文字数とかチェックして画面にエラー出してたり、サーバーサイドでチェックしてたりしたんだけど、やっぱりナウいウェブアプ
パスワードが漏洩しないウェブアプリの作り方 〜 ソルトつきハッシュで満足する前に考えるべきこと
■■序論 徳丸さんのスライド「いまさら聞けないパスワードの取り扱い方」に見られるように、昨今、ウェブアプリケーションの設計要件として、サーバ内に侵入された場合でもユーザーのパスワードをできるだけ保護すべきという論調が見受けられるようになってきました。 上掲のスライドでは、その手法としてソルトつきハッシュ化を勧めています。しかしながらスライドに書かれているとおり、ソルトつきハッシュには、複雑なパスワードの解読は困難になるものの、単純なパスワードを設定してしまっているユーザーのパスワードについては十分な保護を提供できないという問題があります。そして、多くのユーザーは適切なパスワード運用ができない、というのが悲しい現実です。 ソルトつきハッシュを使った手法でこのような問題が残るのは、ウェブアプリケーションサーバに侵入した攻撃者がユーザーの認証情報をダウンロードして、認証情報をオフライン攻撃するこ
Adobeサイトから漏えいした暗号化パスワードはなぜ解読されたか
Adobe社のサイトの不正アクセス(参照、参照)によって、少なくとも3800万人のIDと暗号化されたパスワードが漏えいしたと言われています。既に報告したように、私のアカウントも漏えいしていました。 その後、『Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用』というニュースが流れてきました。安易なパスワードが使われている統計は今までもあり、「パスワードの実態」に関しては「そんなものだろうな」と思いましたが、問題は、どうやって「暗号化パスワード」を解読したかです。 別の報道では、Adobeサイトがパスワードの暗号化に用いていたアルゴリズムはトリプルDESだったということです。トリプルDESは電子政府推奨暗号リストの今年の改訂でもしぶとく生き残り広く使われている暗号化アルゴリズムです。そんなに簡単に解読されたのでは問題ですが、実際には、「トリプルDESが解読
xkcd: 暗号的、パスワード再利用
xkcd: Encryptic 暗号的 先日、ハッカーが1億5300万件ものAdobeユーザーのEメールアドレスと、暗号化されたパスワードと、パスワードのヒントを流出させた。 Adobeは不適切なパスワードの暗号化を行っていた。ブロックモード3DESを使ってしまったのだ。結果として、とても素晴らしいものが出来上がってしまった。 史上最大のクロスワードパズル 捕捉 先日、Adobeのユーザー登録情報が大規模に流出する事件があった。流出したのは、xkcdでも言及しているように、AdobeユーザーのEメールアドレスと、暗号化されたパスワードと、パスワードのヒントだ。この暗号化されたパスワードというのがクセモノだ。 モダンな暗号は、ブロックと呼ばれる決められたビット数単位で行われる。DESのブロック長は64bitである。もし、ブロックごとに独立して暗号化した場合、同じ値のブロックは、同じように暗号
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”
「iOS 7」を安心して使いたい人のための“セキュリティ対策10選”:iPhoneから個人情報が丸見え!?(1/4 ページ) ←・見づらい? 使いづらい? を解消:「iOS 7」にまだ慣れない人のための“基本ワザ10選” iOSは比較的セキュリティの高いモバイルOSとして知られるが、設定によっては思わぬ危険が潜んでいる。特に最新の「iOS 7」は、ユーザーの手間を減らす便利な新機能が多数加わった半面、ロック画面から個人情報が漏れやすく、セキュリティに対する一層の注意が必要だ。 ここでは、iOS 7を安心して使いたい人へ、10の対策を紹介しよう。 (1)ロック画面を回避できない「iOS 7.0.2」にアップデートする iOS 7のダウンロードは2013年9月19日(日本時間)に始まったが、その直後に特定の操作でロック画面のパスコード入力を回避できてしまう問題が発覚した。 そこで、アップルはこ
本当は怖い Windows パスワードハッシュ - 登 大遊 (Daiyuu Nobori) の個人日記
「各社員の PC の Windows の管理者パスワードは 16 文字くらいの複雑なものにしているので、たとえ 1 台の PC の HDD から NTLM ハッシュ (MD4 ハッシュ) が盗まれてもブルートフォース攻撃で元のパスワードは導出できず、安全だ。」と考えて、多数の各社員の PC に同一の管理者パスワードを設定している企業のシステム管理者は多い。しかし実際にはいずれか 1 台の PC から管理者パスワードの MD4 ハッシュが攻撃者に読み出された時点でアウトである。攻撃者にとって不正ログインに必要なのは MD4 ハッシュのみであり、平文パスワードを逆算する必要はない。MD4 ハッシュの入手に成功した攻撃者は、企業内で同一の管理者パスワードが設定されてある他の PC すべてに管理者権限で侵入することができるようになる。現状、企業の情報システム部門は、多数の社員用の Windows
いまさら聞けないパスワードの取り扱い方
そうだったのか! よくわかる process.nextTick() node.jsのイベントループを理解するshigeki_ohtsu
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
QRコードを使ったワンタイムパスワード認証システムが提案される | スラド セキュリティ