ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita
pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。
“Q”と”Z”がパスワードに使えない! 格安航空会社ジェットブルーの謎
HackerNewsで質問され、話題になっていたトピック。 格安チケットで有名なアメリカのJetBlue のサイトのヘルプページで、「パスワードに使えない文字」というリストが載っています。他にもいろいろ突っ込みたい制限は […] HackerNewsで質問され、話題になっていたトピック。 格安チケットで有名なアメリカのJetBlue のサイトのヘルプページで、「パスワードに使えない文字」というリストが載っています。他にもいろいろ突っ込みたい制限はありますが、 一番わからないのが「QとZは使えません」という制限。これはなんでだろう? という疑問への回答が、レガシーなシステムを引きずったシステムのたいへんさを明らかにしています。 「飛行機やホテルの予約システムSabreの制限だろう」というコメントはすぐにいくつも出ていて、どうやらそれは正しいようなのですが、ではどうしてSabreのパスワードに
JALの不正ログイン事件について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、JALの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。日本航空のホームページに不正アクセスがあり、JALマイレージバンク(JMB)のマイルが、Amazonのギフト券に勝手に交換される被害がありました。日本航空の発表では、1月31日から2月2日にかけて、身に覚えがないマイル交換がされているという問い合わせが複数ありました。調査の結果、40人の利用者のマイルがアマゾンのギフト券、数百万円相当と交換されていたというものです。 徳丸: ここで問題となるのは、パスワードは数字6桁ということなんですよね。 高橋: やはりそこですか。パスワードが数字6桁だとどのような攻撃ができるのでしょうか? ブルートフォース攻撃 徳丸: まず、ブルートフ
「JALマイレージバンク」不正ログイン問題、数字のみパスワードの強化策を「検討中」
日本航空(JAL)は2月6日までに、「JALマイレージバンク」のログインパスワードについて、セキュリティを強化する対策を検討していることを明らかにした。従来、数字のみ6ケタのパスワードだったが、会員ページに第三者から不正ログインされた事件を受け、アルファベットや記号を加えるなどの対策導入を検討する。 JALマイレージバンクは、7ケタか9ケタのマイレージ番号と、数字のみ6ケタのパスワードの組み合わせでログインでる。「大半の会員が携帯電話やスマートフォンを利用しており、入力時に負担をかけないよう配慮していたため」(広報部)簡便なパスワードを採用していたが、不正ログイン事件を受け、パスワード強化策を含む再発防止策の検討に入った。 不正ログインは、1月31日~2月2日にかけ、計7人のユーザーから「自分のマイルが意図せず引き落とされている」という相談を受けて発覚した。不正ログインを受けた可能性がある
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか
なぜ僕らはまだパスワードリスト攻撃に悩まされ続けるのか:Japan Identity & Cloud Summit 2014レポート 2014年1月14日と15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。その初日の模様をレポートする。 2014年1月14~15日の2日間にわたって、「アイデンティティ」という切り口からビッグデータや番号制度、セキュリティなどの問題について議論するカンファレンス「Japan Identity&Cloud Summit」が開催された。 ユーザーデータの活用には透明性の確保が前提 1日目、最初のプログラムでは「ビッグデータとアイデンティティ~ビッグデータ活用の高度化にあたり、われわれは『利用者のID』とど
2013年のアキレス腱だったパスワード--2014年はどうなる?
John Fontana (Special to ZDNET.com) 翻訳校正: 石橋啓一郎 2014-01-08 07:30 2013年には、多くの人がパスワードを盗まれた。中には、盗んだ人もいるだろう。 米国防高等研究計画局(DARPA)の遺物であるパスワードは、かつては各自の頭の中にある秘密だった。しかし2013年には、盗まれたパスワードダンプを晒すPastebinやDump Monitor、そしてインターネットのさまざまなブラックホールでハッカーにもてあそばれる情報へと、簡単に変わるということが度々起こった。 新しいクラッキングツールでは55文字までのパスワードを解読することが可能になっており、IT部門やエンドユーザーはパスワードを使った方法はもう終わりだと感じつつある。 無数のパスワードが、Adobe(3800万件)、MacRumors(86万件)、Ubuntuのフォーラム(1
【Windows 10対応】パスワードを忘れたWindows OSにログオン(サインイン)する
退社した人のPCや前の管理者が管理していた共有PCなど、パスワードが分からなくなり、仕方なくWindows OSを再インストールする羽目になった、ということもあるのではないだろうか。実は、パスワードが分からなくなっても、ちょっとした操作でパスワードの再設定ができる。ただし悪用は厳禁である。他人のPCに対して許可なく、以下の方法でログオン(サインイン)すると犯罪になる。 以下、Windows 10のインストールメディアを使い、Windows 10のパスワードを解除する手順を紹介する。他のバージョンのインストールメディアやWindows 7/8/8.1でも同じ手順でパスワードの再設定が可能だ。 Windows OSのパスワードをリセットする裏技 パスワードを再設定するには、ちょっとした裏技(?)を利用する。Windows 7/8/8.1/10のログオン(サインイン)画面にある[コンピューターの
いい加減なパスワード管理にまつわる苦い経験
読者の皆さんは普段、ID/パスワードを使ってログインするサイトをいくつぐらい利用しているだろうか。シマンテックが先週(2013年10月30日)発表した「『個人・企業のパスワード管理』に関する意識調査」によると、「普段利用しているサイト(もしくはスマートフォンアプリ)で、ID/パスワードでログインするサイト数」は「5~9個」が29.3%で最も多く、これに「1~4個」(26.3%)、「10~19個」(23.7%)が続いている(図1)。 図1●普段利用しているサイト(もしくはスマートフォンアプリ)で、ID/パスワードでログインするサイト数(出典:シマンテック「『個人・企業のパスワード管理』に関する意識調査」) 記者自身、改めて考えてみると、ID/パスワードを使ってログインするサイトは、オンラインバンキング、ショッピングサイトなどで15個ほど。これに社内のグループウエア、伝票決済システム、出勤簿、
Adobeの情報流出で判明した安易なパスワードの実態、190万人が「123456」使用
Adobeから流出したユーザーのパスワードをセキュリティ企業が調べた結果、「123456」「qwerty」などの安易なパスワードを使っているユーザーが大量に存在することが分かった。 米Adobe Systemsのネットワークが不正アクセスされて大量のユーザー情報などが流出した事件で、流出したパスワードを調べたセキュリティ企業が、依然として「123456」などの安易なパスワードを使っているユーザーが大量に存在する実態を指摘した。 Adobeの情報流出は10月3日に発覚し、影響を受けるユーザーは少なくとも3800万人に上ることが分かっている。同社によると、流出したパスワードは暗号化されていたが、パスワードセキュリティを手掛ける米Stricture Consulting Group(SCG)はこの情報を分析し、使用者数の多かった上位100のパスワードを割り出した。 集計できた理由としてSCGのジ
@PAGESご利用ガイド - 13/08/29 【お詫び】ユーザ情報流出に関するお知らせ【第2報】
いつも@pagesをご利用頂きありがとうございます。 昨日8月28日発表いたしましたとおり、ユーザ用の管理情報が流出したことが確認されております。 このような事態が発生し、ユーザの皆様に多大なご迷惑をおかけすることになりましたことを、深くお詫び申し上げます。 現在、弊社では、ユーザの皆様の情報の流出に関し、 情報流出の原因や経路などについて、 全力を挙げて全容解明に取り組んでおりますが、 現時点までに判明いたしました内容およびこれまでの対応施策などを報告させて頂きます。 ○流出したユーザデータ情報 2013年2月27日午後2時54分時点で@PAGESに登録されているすべてのユーザについての ・ユーザ名 ・パスワード ・メールアドレス ・登録日時 ・登録時のホスト名 ・登録時のIPアドレス ・登録時のユーザーエージェント ・その他のユーザ管理の情報 ※パスワードは平文のまま流出いたしてお
Chromeブラウザの「パスワード丸見え」問題にGoogleが釈明
米GoogleのWebブラウザ「Chrome」が保存されたパスワードを平文で表示する機能を提供していることについて、Googleの担当者が掲示板サイトで「ユーザーに誤った安心感を与えたくない」とする同社の立場を説明した。 この問題はソフトウェア開発者のエリオット・ケンバー氏が自身のブログで指摘し、Googleのパスワードセキュリティ対策の甘さを批判していた。 Chromeブラウザのセキュリティ責任者ジャスティン・シュー氏は、掲示板サイト「Hacker News」でこれに反論。「保存されたパスワードへの唯一強力なパーミッションの境界はOSユーザーアカウントであり、Chromeではロックされたアカウント上のパスワードを安全に保つため、そのシステムが提供する暗号化ストレージを使っている」と説明する。 一方で、例えばシステムにロックを掛けないまま席を外すなどして、悪意を持った人物にアカウントにアク
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
「パスワードの使い回しはやめて」、IPAが呼び掛け
「パスワードの使い回しはやめて」、IPAが呼び掛け:異なるパスワードを設定し、リストとして管理するなどの提案 情報処理推進機構(IPA)セキュリティセンターは2013年8月1日、パスワードリスト攻撃(リスト型攻撃)によって不正ログインの被害が続いていることを踏まえ、パスワードの使い回しをやめるよう呼び掛ける文書を公開した。 情報処理推進機構(IPA)セキュリティセンターは2013年8月1日、パスワードリスト攻撃(リスト型攻撃)によって不正ログインの被害が続いていることを踏まえ、パスワードの使い回しをやめるよう呼び掛ける文書を公開した。 2013年4月以降、国内の複数のサービスで不正ログインの被害が報告されている。その多くは、何らかの方法で事前に入手したIDとパスワードのリストを流用し、プログラムなどを用いて自動的にそれらのIDとパスワードを入力することでログインを試みる手口だ。総当たり式に
2013年8月の呼びかけ:IPA 独立行政法人 情報処理推進機構
「今月の呼びかけ」一覧を見る 第13-30-297号 掲載日:2013年8月1日 独立行政法人情報処理推進機構 技術本部 セキュリティセンター (PDFはこちら) パスワードリスト攻撃の被害報道が続いています(表1参照)。不正ログインが成立した率は低いものの、ログイン試行回数が多いほど、不正ログイン成立の実件数はかなりの数に上ってしまうことが分かります。 パスワードリスト攻撃とは、悪意のある者が、何らかの方法で事前に入手したIDとパスワードのリストを流用し、自動的に連続入力するプログラムなどを用いてそれらIDとパスワードを入力することで、ウェブサイトにログインを試みる手口です。ここでログインが成立したIDとパスワードの組み合わせはその後、他の不正アクセスに悪用され、最終的には直接金銭的被害に結びつくものと考えられます。 このような攻撃が成立する背景として、“同じパスワードを様々なインターネ
デフォルトのパスワード悪用が横行、ネット接続時に必ず変更を
パスワードが変更されていないルータや産業制御システムなどの機器は、攻撃者が簡単に見つけ出し、管理者権限でログインできてしまう恐れがある。 デフォルトのパスワードを変更しないままインターネットに接続されたルータや産業制御システムなどの機器が不正侵入の被害に遭うケースが続出しているという。米US-CERTは6月24日、こうしたパスワードの危険性について警告するアラートを出し、工場出荷時のデフォルトパスワードは必ず変更するよう呼び掛けた。 US-CERTのアラートによると、基幹インフラなどの組み込みシステムやデバイス、アプライアンスなどの製品は、工場出荷段階で単純なパスワードが設定され、特定のメーカーや製品ラインの間で同じパスワードが使われているものも多いという。 こうしたパスワードは説明書に記載されていたり、インターネットで一覧を簡単に入手できるものも多い。Shodanのような検索エンジンを使
現実的なパスワード管理を考える
「パスワードを突破され、不正アクセスを受けた」というニュースが後を絶たない。4月に入り、NTTレゾナントや、イーブックイニシアティブジャパン、JR東日本などが被害を受けたことを公表している。 被害を受けた企業やそのニュースを報じる報道機関は、こうした問題が発生するたびに「強固なパスワードを設定し、使い回しをしないように!」という“正論”を述べている。具体的には「パスワードは、アルファベットの大文字小文字や数字を混ぜ、できれば記号を加えた推測しづらい8文字以上の文字列とし、他サイトでの使い回しを避け、メモもしてはいけない」といったものだ。 実社会では書類ごとに印鑑を用意しているのか こうした指摘はまったく正しい。まさしく正論である。しかし、こうした運用を実社会でしたなら、どうなるのかを考えてみよう。 上記のようなパスワード管理を印鑑に当てはめると、「押印する書類の相手ごとに、一般には売ってい
大切なパスワードをつなぐ ひみつマネージャ
立て続けに発生した不正アクセス事件によって、あらためてパスワード使い回しの危険性が明らかになった。ツールを用いて「リスト型攻撃」のリスクを認識し、われわれがいま取ることができる対策について考えていく。 相次ぐ不正ログイン事件、その背景には? NTTレゾナントの「gooID」、NTT東日本の「フレッツ光メンバーズクラブ」、イーブックイニシアティブジャパン「eBookJapan」と、国内の著名サイトで立て続けに不正ログインが発生している。 「gooID」の事件の発生当初、原因は「ブルートフォース攻撃」(注1)という力技による攻撃であるとも考えられていた。だが時間が経過し、詳細が明らかになるに従って、ブルートフォース攻撃ではなく「リスト型攻撃」(「リスト型アカウントハッキング」や「リスト型パスワードクラッキング」などとも呼ばれる)によるものである可能性が非常に高いと考えられるようになってきた。
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁
相次ぐパスワードリスト攻撃に注意、パスワードの使い回しは厳禁:ID/パスワードリスト流通の可能性も? この1カ月あまりの間に、国内のポータルサイトやオンラインショッピングサイトへの不正アクセスを狙った事件が複数発生している。被害を受けたサイトのいくつかは、その手口を一部明らかにし、ユーザーに向けてあらためて「パスワードの使い回し」を避けるよう呼び掛けている。 この1カ月あまりの間に、国内のポータルサイトやオンラインショッピングサイトへの不正アクセスを狙った事件が複数発生している。被害を受けたサイトのうち、NTTレゾナントの「goo」や電子書籍販売サイトの「eBookJapan」ではその手口を一部明らかにし、ユーザーに向けてあらためて「パスワードの使い回し」を避けるよう呼び掛けている。 NTTレゾナントが、gooのアカウント情報である「gooID」に対する不正アクセスに気付いたのは4月2日の
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「@PAGES」で17万人超のユーザー情報が流出、パスワードは平文で 