第37回 2017年8月~見直されるパスワード規則~特殊文字も変更間隔も規定しない現在の標準 | gihyo.jp
筆者もよく忘れ、そのたびにリセットのお世話になる「パスワード」ですが、多くの人は「大文字小文字記号数字を混ぜて、定期変更して」と言われていたことと思います。しかしその(複雑怪奇な)パスワードに対する規則を著した当人から「あれは間違いだった」という発言が出ています。 まったくもって他人事ではないと感じ、今月はこの話を説明していくこととします。 パスワード規則のおおもとは、2003年に作成されたNIST SP800-63 Appendix A 米国の標準化機関である NIST(National Institute of Standarts and Technology/国立標準技術研究所)は、標準に関する多くの文書を公開しています。SP800-63は、電子認証のガイドライン(Electronic Authentications Guideline)なのですが、SP800-63が公開されてから2
パスワード-もっと強くキミを守りたい- : IPA情報処理推進機構
出展期間・場所 MAP (1) 2015年4月3日(金)~ 4月9日(木)【終了しました】 JR原宿駅 線路側ボード(ホームからご覧いただけます) (2) 2015年4月10日(金)~ 現在 JR原宿駅 道路側ボード(駅を降りて竹下口に面した道路よりご覧いただけます) 共催:独立行政法人情報処理推進機構(IPA)/公益財団法人 日本交通文化協会 後援:サイバーセキュリティ戦略本部/経済産業省/国立研究開発法人情報通信研究機構(NICT) 陽だまり家族とパスワード ~自分を守る3つのポイント~ 仲良し5人家族をある日突然襲ったなりすましや不正送金の被害…。脅威が高まるパスワード漏えいへの対策についてホームドラマを通してわかりやすく解説します。(時間:約10分)
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
LINEの「パスワード変更したらスタンププレゼント」キャンペーンは、長い目で見ると実はかなりマズい
最近SNS上で話題になっていたのが、LINEの乗っとり騒動。ただ、LINEのサービス自体から情報が流出したわけではなく、他のサービス等と共有しているメールアドレスとパスワードの組み合わせで不正ログインをされているようだ。 そこでLINEが行ったのが、「パスワード変更した方全員にLINEキャラ特製スタンププレゼント」という、こちらのキャンペーン。 メールアドレスやパスワードを設定/変更する面倒さを、スタンプというインセンティブで乗り越えられるという、LINEにとってもユーザーにとってもwin-winの施策だ。よく考えたなぁ! …と思っていた。以下のツイートを見るまでは。 一見有効なように見えるけど、LINEパスワード入力したらスタンプもらえるって情弱に誤学習させてしまって、フィッシングサイト乱立する気もする http://t.co/XWiYWDrfed — oʇoɯıɥsɐɥ oɥs (@s
簡単操作で条件にあったパスワードやパスフレーズを大量生成できるフリーソフト「PWGen」
PCで作業をしているとさまざまな場面でパスワードを入力する機会に出くわしますが、パスワード生成時に覚えやすいからといってついつい自分の名前や誕生日をそのまま使ったり、あるいはアナグラムにする程度で済ませてはいないでしょうか。考えるのが面倒なのか、「123456」や「password」、「qwerty」といった単純な文字列にしている人もいるようですが、覚えるのが簡単なパスワードはセキュリティ面に問題があると言えます。 「PWGen」を使えばランダムなパスワードを手軽に作ることができます。一度に大量のパスワードを作成したり文字の種類や単語の数、パスワードの長さなどといったことも細かく指定することが可能で、英単語を組み合わせたパスフレーズも簡単に作れます。なお、すべての32ビット版のWindowsに対応したソフトウェアです。 ダウンロードとインストール、使い方の詳細は以下から。PWGen - O
When to Change Passwords 日本語訳 パスワードの変えどき
以下の文章は、Bruce Schneier による When to Change Passwords(初出は Dark Reading 2010年11月10日)の日本語訳である。 どれくらいの頻度でパスワードを変えるべきか? 私はそうした質問をよく受けるが、それを言ってくるのは大抵、会社や銀行のパスワードの有効期限ポリシーに悩まされている人たち――ようやく今のパスワードを覚えたと思ったら、新しいパスワードを書き留めなければならないのに気付いている人たちだ。一体どれくらいの頻度だとより安全になるのか、彼らはそれを知りたがっている。 その答えは、パスワードが何に使われるかによる。 パスワードを変えることの欠点は、覚えにくくなることだ。だから人にパスワードを定期的に変えるよう強いれば、彼らは何年も同じパスワードを使える場合よりも覚えやすい――つまり推測しやすい――パスワードを選ぶ可能性が高い。よ
生パスワードを平文メールで送ってくる企業 | スラド セキュリティ
はてなの AnonymousDiary で「平文メールにパスワードを書いて送ってくる糞企業一覧」というエントリーが話題になっている。 曰く、リクナビで JR 東海にエントリーしたところ、「○○様 ID: 12345678 パスワード: mypassword こんにちは ! JR 東海人事部です。」というメールが到着したのだそうだ。しかも、定期的にパスワードがメールで送られてきたとのこと。 同様のサイトは他にもあって、いくつもの大企業の名前が挙っている。こういうのはどうにか無くせないものだろうか。
メール・FTP・ベーシック認証のパスワードを表示するフリーソフト「SniffPass」 - GIGAZINE
通信内容をキャッチすることによって、POP3・IMAP・SMTP・FTP・HTTPのパスワードを表示することができるフリーソフトがこの「SniffPass」です。「このメールアドレスのパスワードなんだったっけ?」という場合や「FTPのパスワードがわからないので実際に使っているFTPソフトの設定を見たが***になって表示されない」という場合に便利です。 パケットキャプチャ用のドライバは「WinPcap」と「Microsoft Network Monitor」が使用可能となっており、「Microsoft Network Monitor」のドライバを使えば無線LANからもパスワードを抜き出すことが可能となります。 というわけで、ダウンロードと使い方は以下から。 ◆有線LANの場合 まずは下記サイトから「WinPcap」をダウンロードします。 WinPcap, the Packet Capture
パスワード再発行の「ひみつの質問」、「好きなディズニーキャラクターは?」はNG | スラド セキュリティ
ネズミの国よりスヌーピーが好きな ID がちょっと試してみた。当然のことながらカードクラブ会員ではない(登録にはディズニー★JCBカード [jcb.co.jp]が必要) ログインIDが分からない場合は「ディズニー★JCBカードインフォメーションセンター」に問い合わせてくださいということになっているので、これはいい。おそらく問題となるのはIDが容易に推測できちゃう場合。 パスワード再発行画面 [disneycardclub.jp]でパスワードの再発行手続きに必要なものは次の3つ。 ログインID (「ディズニー・カードクラブ」サイトにログインするためのID) ※半角英数字3-10文字以内で入力してください。ひみつの質問 「母親の旧姓は?」「ペットの名前は?」「好きなディズニーキャラクターは?」「あなたの出身地は?」「お父さんのお誕生日は?」から選択ひみつの質問の回答(※全角20文字以内で入力し
セキュリティホール memo - 2010.03
》 ウイルスバスター 2009/2010: Firefoxでブラウジング中、Firefoxが強制終了する (トレンドマイクロ, 3/30)。Trendツールバーに問題があるそうで。 patch が出ています。 関連: ウイルスバスター (Firefox 版 Trend ツールバー) をお使いの皆さんへ (Mozilla Japan ブログ, 3/31) 》 「ケルベロス 鋼鉄の猟犬」(幻冬舎) 読了。 「押井守の新作映画を堪能した」という感じ。 押井氏の軍オタぶりが如何なく発揮されている他、 押井作品には欠かすことのできない「食事風景」もちゃんとある。 「ふつうの娯楽作品ならここが山場!」というところが山場にならないのも、 押井作品ならでは。 もともとは、ラジオドラマだったのですね: 押井守の「ケルベロス」最新作はラジオドラマ −3年後目処に映画化。3DCG映像も公開 (AV Watch,
パスワード変更推奨キャンペーン | 水無月ばけらのえび日記
公開: 2010年2月28日11時15分頃 ふと、こんなものを発見しました。「パスワード変更推奨キャンペーンのお知らせ (www.dydo.co.jp)」。 ダイドードリンコ公式サイトでは、皆さまの大切な情報をさらに強固に保護するため、パスワード規定を見直し、システム改訂を行いました。既存会員の皆さまにはお手数をおかけいたしますが、改訂趣旨をなにとぞご理解いただいた上で、パスワードの速やかな変更をお願い申し上げます。 なお、キャンペーン期間中にパスワードを変更された会員様には、もれなくマンスリーポイント100ポイントをプレゼントさせていただきます。 旧システムのパスワードルールが緩すぎるので改訂したい、というシチュエーションは良くありますが、「でも改訂したら既存ユーザが混乱するのでは?」という意見も当然出るわけです。こういうふうに、大々的にキャンペーンをやってしまうというのは良いアイデアだ
よく使われる危険なパスワードトップ500
セキュリティを強化するために使用されるパスワードですが、面倒くさいからとか覚えられないからといって安易なものを使ってしまうとあまり意味がありません。多くの人が思い浮かべる使われやすいパスワード500個が紹介されているので、自分の使っているものと同じものがないかチェックしてみてください。 詳細は以下から。 What’s My Pass? >> The Top 500 Worst Passwords of All Time よく使われるパスワードトップ500。 50人に1人はトップ20のうちのどれかのパスワードを使用しているそうです。「1234」といった簡単な数字の羅列や「qwerty」などのキーボードを横に順番に押しただけのもの、「password」といったそのままの単純なものが上位に多くありますが、「porsche」や「ferrari」といった自動車の名前や「starwars」「matri
https://support.microsoft.com/ja-jp/help/930381
すべて Microsoft 製品 Microsoft 365 Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote Microsoft Teams PC とデバイス Xbox を購入する アクセサリ VR & 複合現実 エンタメ Xbox Game Pass Ultimate Xbox Live Gold Xbox とゲーム PC ゲーム Windows ゲーム 映画とテレビ番組 法人向け Microsoft Azure Microsoft Dynamics 365 Microsoft 365 Microsoft Industry データ プラットフォーム Power Platform 法人向けを購入する Developer & IT .NET Visual Studio
ハードディスクのパスワードロックはなぜ破られた?
ハードディスクのパスワードロックはなぜ破られた?:データを守るためにできること(1)(1/3 ページ) 情報漏えい対策が注目される中、企業はどのようにデータを保護していくかの手法を模索し続けている状況ではないだろうか。本連載ではデータを保存するメディアの1つである「ハードディスク」がどのようにデータを守れるのかという点に着目する(編集部) ATAパスワード保護についての事実 コンピュータのハードディスクに保存したデータを保護する際、ATAパスワードを利用することが多いと思います。しかし多くの場合、悪意を持った攻撃者は簡単にパスワードロックを外すことができ、ドライブ上のすべてのデータにアクセスすることが可能になります。 個人、あるいは企業のコンピュータからの機密情報の盗難は、アメリカでも最も急増している犯罪の1つで、数え切れないほどの組織がノートPCから数百万件もの機密情報を盗まれ、データ盗
パスワードは「8文字以上」が当たり前!?
「パスワードは8文字以上で,3カ月以内に変更する」――。業務で利用しているパソコンにおける,パスワード運用の平均的な姿である。 業務に利用するパソコンで,アンチウイルス・ソフト導入やOSアップデートを怠ってはいけない。だが,それだけでも十分ではない。ソフトウエアのアップデート漏れによるウイルス感染や,重要なメールの誤送信などリスクは身近にある。システム利用者の日常的な習慣次第で,リスクは大きく増減する。 万一,重要な情報を漏らしてしまった場合,世間一般並みのセキュリティ運用を実施していたかどうかが問われることになる。世間ではどの程度のセキュリティ運用をしているのか,その実態を知っておくのは価値がある。ITproでは,2008年4月8日から4月15日にかけて「業務で利用しているパソコンの情報セキュリティ運用に関する調査」を実施した。2030人から有効回答を得た。 約半数が「3カ月以内」にパス
Windows.FAQ - パスワードを忘れてしまった場合の対処法
このページでは、以下のパスワードを忘れてしまった場合の対処方法を解説します。 Windows 9x/Me のログオンパスワード Windows NT/2000/XP の管理者パスワード メールやアプリケーションのパスワード ■ Windows 9x/Me のログオンパスワード Windows9x/Me の Windows ログオンパスワードは、Windows フォルダにあるパスワードリストファイル (*.pwl) に記録されています。 次の手順で pwl ファイルを削除すると、ログオンパスワードを再設定できます。 ただし、パスワードリストファイルが記録しているダイヤルアップパスワード、ネットワークパスワードなどもリセットされていまうので注意してください。 PC を起動し、Windows ログオンの画面で ESC キーを押します。 [スタート]−[検索]−[ファイルやフォルダ] をクリッ
最強のパスワードを作る 第3回 強化編:「記号」と「自分なりのルール」で強くする:ITpro
では、現実的な強いパスワードの作成に取り掛かろう。「基本方針」は、たったの3つ(図3-1)。これらを実践するだけで、十分破られにくいパスワードを作れる。 まず、使っているパスワードが「ユーザーIDと同じ文字列」あるいは「パスワードなし」の場合には、今すぐ変更すべき。これが、最初の基本方針だ。 「現状編」で説明したように、これらは、攻撃者が最初に試す文字列であり、簡単に破られるパスワードの代表格。そのまま使い続けるのはとても危険だ。これらの使用をやめて、後述するような文字列に変更すれば、「単純な推測」によるパスワード破りを防げる。 次に防ぐべきは「辞書攻撃」。辞書攻撃に対抗するには、パスワード破り用の辞書に存在しない文字列にする必要がある。とはいえ、「現状編」で述べたように、頭に思い浮かぶような文字列は、すべて辞書に含まれていると考えた方がよい。 記号を入れれば強くなる 辞書にない文字列を作
第2回 現状編:あなたは大丈夫?パスワードの危険な実態
まずは、パスワードの現状を考えてみよう。複数のセキュリティ専門家に話を聞くと、一般ユーザーの多くは、図2-1のような文字列をパスワードに設定しているという。 図2-1●こんなパスワードが使われがち 複数の専門家への取材を基に、編集部で作成。専門家によれば、個人ユーザーと企業ユーザーのいずれでも、上記のようなパスワードを設定しているユーザーは多いという。特に多いのが(1)と(2)。 特に多いのが、(1)ユーザーIDと同じ文字列、と(2)パスワードなし。(1)は、ユーザーIDが例えば「user123」だったら、パスワードも「user123」にすること。(2)では、パスワードの入力が求められたときにリターンキーを押せば、正規のユーザーとしてログインできてしまう。 (1)と(2)が多いのは、家庭でパソコンを使っている個人ユーザーに限らない。企業内ユーザーでも同じだという。「数年前、社員が1000人
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「パスワードの定期変更は正しくない」――考案者が自ら過去の過ちを認める発言【やじうまWatch】
パスワード復旧手順 – テクニカルサポート – Cisco Systems