「mineo」運営会社、約6500件のIDで不正ログイン--パスワードリスト型攻撃と判明
ケイ・オプティコムは8月16日、同社が展開する光通信サービス「eo」や格安モバイル通信サービス「mineo」などを利用するための「eoID」に対し、外部からの不正ログインがあったと発表した。現時点では、顧客データの流出は確認できていないとしている。 同社では、特定のIPアドレスからeoIDへの不正ログインを試みる事象を確認し、このIPアドレスからのログインを遮断する緊急措置を実施。不正ログイン発生期間は、8月13日22時5分から8月15日21時までという。調査の結果、ケイ・オプティコムへのハッキングによるeoIDの流出ではなく、第三者がユーザーIDやパスワードを不正に入手してログインを試みる「パスワードリスト攻撃」によるものと判明したという。 不正ログインが確認されたユーザー数は、8月15日21時時点で6458件。閲覧された可能性のある情報は、住所、氏名、性別、電話番号、生年月日、メールア
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
FirefoxとThunderbirdの「マスターパスワード」は1分で破ることが可能と指摘される
MozillaのウェブブラウザFirefoxとメールクライアントThunderbirdには、セキュリティを向上するという目的で、「マスターパスワード」という機能があります。この機能は、あらかじめソフトウェアのアカウント毎に設定しておいた個別パスワード「マスターパスワード」を入力しないと、ソフトウェアの動作を制限するというものです。しかし、このマスターパスワードによるセキュリティの向上に疑問を持っている専門家がいるとBleepingComputer.comが伝えています。 Wladimir Palant's notes: Master password in Firefox or Thunderbird? Do not bother! https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-b
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
安全なPHPアプリケーションの作り方2016
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
「パスワード忘れた」をノートに書き留めて解消! アナログなのに画期的な「パスワードノート」が話題(1/2ページ)
インターネットやスマートフォンの「アプリ」利用などで、必ず設定が求められる「ユーザーID」と「パスワード」。同じものの使い回しや誕生日、電話番号は危険だが、複雑なものにすると忘れてしまう-。そんな悩みを解消してくれると話題なのが、奈良県天理市のデザイン会社が開発した「パスワードノート」だ。ネット販売のみながら、50代男性を中心に売り上げを伸ばしているという。 ノートはA5サイズ44ページで、パスワードを管理したいサイトごとに1ページを使う。各ページには、六角形の枠が上下に「8」の字形に並んだマス目と、サイトの名前やID、アドレスなどを記入する欄がある。 48あるマス目で「起点」を決め、「右回り」「左回りで2つ飛ばし」など、自分で決めたルールに従ってパスワードを記入。各ページには解読のための「ヒント」を記入する欄があり、自分に分かるようヒントを書く。余ったマス目にカムフラージュ用の英数字を書
「パスワードは定期的に変更してはいけない」--米政府 (ニューズウィーク日本版) - Yahoo!ニュース
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた
無線LAN無断使用「違法です」 無罪判決で総務省見解:朝日新聞デジタル
隣人の無線LANのパスワードを解読して使ったことが電波法違反にあたるかが争われ、東京地裁が4月に無罪判決を出したことに絡み、総務省は12日、「同様の事例は電波法違反にあたる」との見解を示した。パスワードの解読のために通信を傍受して悪用することが、電波法が禁じる「無線通信の秘密の窃用(盗んで使うこと)」にあたるという。 裁判では、パスワードそのものが通信の秘密にあたるかどうかが争われた。判決は、パスワードは通信されていないため通信の秘密にあたらないと判断され、電波法上は無罪とした。 総務省によると、今回解読されたのは「WEP」という古い方式の暗号で、解読する機器が出回っているという。利用者のパソコンなどが無線LAN機器に送っている通信を傍受し、それを複製して無線LAN機器に送ることでデータを入手、これを分析してパスワードを解読する仕組みだ。 この行為は電波法109条第1項に違反し、1年以下の
パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
どうせやったふりのセキュリティ『暗号化Zipパス別送をやめろの歌』が誕生!現場からは「パスワードもいっしょに添付してる」などの声
面倒なパスワード入力がブロックチェーンで不要に?データを自動で暗号・復号化するセキュアシステムの提案名古屋で開催された「Blockchain for Enterprise 2018」レポート