秘密の質問「母親の旧姓」、読めないんですけど……
ask.fmで「初めて観た映画のタイトルは?」なんていう質問が投げかけられる話が盛り上がっています。これは……どうやら、特定のWebサービスの「秘密の質問」そのもののようです。 ask.fmという、個人に対してインタビューや質問を匿名で行い、その答えを公開するというWebサービスがあります。読者の疑問に気軽に答えることができるため、多くのネット有名人が利用しているようで、Twitterのタイムラインにもその内容が流れてくるのをよく見ます。 ところが、そこにちょっと気になる質問が投げかけられるという話が盛り上がっています。気になる質問とは「初めて観た映画のタイトルは?」「初めて飛行機で行った場所は?」「初めて遊びに行った海の名前は?」「十代の頃の親友の名前は?」……。どこかで見たような質問ですね。これはどうやら、特定のWebサービスの「秘密の質問」そのもののようです。
パスワードを強化しつつ多くのサービスで使い回ししない簡単な方法 - ネットの海の渚にて
photo by marc falardeau パスワードの流出 ちょっと前からTwitterではアカウントが乗っ取られてフォロワーにメンションを飛ばしまくるスパムが続出している。 Twitter乗っ取りでスパム送信相次ぐ リスト型攻撃か 偽ブランド販売サイトに誘導? - ITmedia ニュース 今まであったTwitterのスパムは使用者が不用意に「アプリ連携」を許可してしまって知らないうちに宣伝リツイートをさせられるのが主流だった。 今回流行しているスパムは、無作為に宣伝メンションを送りつけるわけだから、似てはいるけれど決定的に違う部分がある。 前者のスパムは知識不足からくる不注意で、使用者自らが「連携許可」を出してしまっていることに対して、後者が全く異なるのはパスワードを破られている点で深刻さは桁違いだ。 パスワードが流出する騒ぎというのは今ではそれほど珍しいことではない。 少し調べ
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
個人が使うWebサービスのパスワード管理について、現状を整理し、結局どうするのがいいのか考えてみる - トリコロールな猫/セキュリティ
※ここに書かれていることはnekotricolor個人の見解であり、所属する組織の公式見解ではありません。 一度書いてみたかった パスワード問題、結局どうすればいいのかというのを考えてみました。 ダラダラと書いてたらエラい力作になってしまいました。 ユーザ名は?という話もありますが、隠しようがなかったりメールアドレスだったりパスワード並みに複雑にできたり様々なのでここでは触れません。 長すぎて読む気がしないという方は「めんどくさいから簡単にできる方法を教えてという人へ」へどうぞ。 このエントリが対象とするサービス インターネットバンキング Amazon、楽天などのネットショップ(クレジットカード決済) Facebook、Twitter、mixiなどのSNS Gmail、hotmailなどのWebメール LINE、Skypeなどの無料通話・チャットサービス パスワードが破られたときに起こるこ
EpisoPass
EpisoPass概要 問題プール編集 EpisoPassページ作成 EpisoPassページ生成 EpisoPass概要 EpisoPass™ は、個人的な記憶をもとにパスワードを生成するシステムです。 自分だけが知っている記憶を利用して、複雑なパスワードを生成できます。 たとえば増井のEpisoPassページの問題に正しく答えると Amazonのパスワードが生成されます。 秘密ファイルを管理したり、パスワードを記憶したりする必要がありません。 EpisoPassページの作成 EpisoPassページ作成には問題プールを使います。 問題プールは、秘密の質問と回答候補を並べたものです。 例: 県名 / ローカル地名 / 海外 / 人名 Webに置いた問題プールデータをURL引数に指定できます。 例: 県名 / ローカル地名 / 海外 / 人名 問題プール編集タブを選択すると 問題プールを編
ほいほいとFacebookのフレンド申請に応じているとアカウントをのっとられてしまうかもしれない
Facebookのアカウントは本名が基本ですので、フレンド申請される人の名前をみていて「以前このハンドル名で会った人かな?」と、確信がないまま承認してしまうことがたまにあります。 しかしそうしたことを繰り返していると、アカウントをのっとられてしまう可能性があることが The Blog Herald の記事で紹介されていました。その方法とは以下の通りです。決して悪用してほしくないですが、簡単にできてしまいますね…。 アカウントをのっとりたい相手にむかって3名分のダミーアカウントでフレンド申請を行う 相手がそれを承認したら、相手のアカウントに対してでたらめなパスワードでログインを数回試みる メールと携帯電話番号、そして秘密の質問による認証にもでたらめに答えて すると「3人の友人にあなたが本人であることを認証してもらってください」という表示があらわれ、3人を選択できます。乗っ取りを目的としている
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
あなたのパスワード、バレてます