「mineo」運営会社、約6500件のIDで不正ログイン--パスワードリスト型攻撃と判明
ケイ・オプティコムは8月16日、同社が展開する光通信サービス「eo」や格安モバイル通信サービス「mineo」などを利用するための「eoID」に対し、外部からの不正ログインがあったと発表した。現時点では、顧客データの流出は確認できていないとしている。 同社では、特定のIPアドレスからeoIDへの不正ログインを試みる事象を確認し、このIPアドレスからのログインを遮断する緊急措置を実施。不正ログイン発生期間は、8月13日22時5分から8月15日21時までという。調査の結果、ケイ・オプティコムへのハッキングによるeoIDの流出ではなく、第三者がユーザーIDやパスワードを不正に入手してログインを試みる「パスワードリスト攻撃」によるものと判明したという。 不正ログインが確認されたユーザー数は、8月15日21時時点で6458件。閲覧された可能性のある情報は、住所、氏名、性別、電話番号、生年月日、メールア
ツイッター、不具合でPW「露出」 変更呼び掛け
ツイッターのロゴ(2016年12月28日撮影)。(c)AFP PHOTO / LOIC VENANCE 【5月4日 AFP】(更新)米ツイッター(Twitter)は3日、ソフトウエアの不具合により利用者のパスワードが誤って内部ログに「露出」したと発表し、利用者にパスワードの変更を呼び掛けた。 同社は、データが流出したことを示す情報はないとした上で、念のためパスワードを変更するよう勧告している。 同社のパラグ・アグラワル(Parag Agrawal)最高技術責任者(CTO)はブログ投稿で、利用者のパスワードは「ハッシュ化」という方法で保護されており、社内からも閲覧できない仕組みになっていると説明。 だが今回の不具合により「ハッシュ化処理の完了前にパスワードが内部ログに書き込まれていた」ことが分かったという。アグラワル氏は「私たちはこのエラーを自ら発見し、パスワードを削除した。現在、このバグの
長くて覚えやすくて複雑なパスワードとemojiの話
すみだセキュリティ勉強会2018その1での発表資料です。 http://ozuma.sakura.ne.jp/sumida/2018/03/22/38/
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
FirefoxとThunderbirdの「マスターパスワード」は1分で破ることが可能と指摘される
MozillaのウェブブラウザFirefoxとメールクライアントThunderbirdには、セキュリティを向上するという目的で、「マスターパスワード」という機能があります。この機能は、あらかじめソフトウェアのアカウント毎に設定しておいた個別パスワード「マスターパスワード」を入力しないと、ソフトウェアの動作を制限するというものです。しかし、このマスターパスワードによるセキュリティの向上に疑問を持っている専門家がいるとBleepingComputer.comが伝えています。 Wladimir Palant's notes: Master password in Firefox or Thunderbird? Do not bother! https://palant.de/2018/03/10/master-password-in-firefox-or-thunderbird-do-not-b
2018年のパスワードハッシュ - Qiita
数年前であれば仕方なかったところですが、2018年の今となっては、パスワードハッシュの手動計算はもはや"悪"です。 まずログイン認証と称してmd5とかsha1とか書いてあるソースはゴミなので投げ捨てましょう。 hashやcryptは上記に比べればずっとマシですが、使い方によっては簡単に脆弱になりえます。 あと『パスワードを暗号化する』って表現してるところも見なくていいです。 PHPには、ハッシュに関わる諸々の落とし穴を一発で解消してくれるpassword_hashという超絶便利関数があるので、これを使います。 というか、これ以外を使ってはいけません。 以下はフレームワークを使わずに実装する際の例示です。 フレームワークを使っている場合は当然その流儀に従っておきましょう。 ハッシュの実装 データベース ユーザ情報を保存するテーブルを作成します。 パスワードカラムの文字数は、システム上のパスワ
ビットコイン長者の悲劇、「パスワード忘れ」 | スラド IT
ビットコイン管理ツールのパスワードを忘れてしまったために、自身の所有するビットコインを利用できないというトラブルは少なくないそうだ(ウォール・ストリート・ジャーナル)。 銀行などの口座であれば、暗証番号などを忘れたとしても一定の手続きを行えば自身の口座にアクセスが可能だ。しかし、ビットコインの場合はパスワードを忘れた場合、それを復旧するのは非常に困難だ。 ウォール・ストリート・ジャーナルの記事では、2013年に260ドルで15ビットコイン(現在の価格で約2500万円)を購入した人がパスワードを忘れてしまったため、総当たり攻撃でパスワードの特定を試みているという話が出ている(FORTUNE)。 また、CNBCによると、所有するビットコイン(7500ビットコイン、現在の価値で約120億円)へのアクセスに必要なデータが含まれたストレージを誤って捨ててしまった人や、パスワードをメモしておいた紙片を
パスワードの「数字記号混じり」「定期変更すべき」などのガイドラインは間違いだった?制定者が「失敗だった」と発言
北河拓士🔰 @kitagawa_takuji NISTで2003年にパスワードの複数文字種混在や定期変更を推奨するガイドラインを書いた人が間違いを認め後悔していると発言。 wsj.com/amp/articles/t… 2017-08-08 13:18:31 リンク WSJ The Man Who Wrote Those Password Rules Has a New Tip: N3v$r M1^d! Bill Burr’s 2003 report recommended using numbers, obscure characters and capital letters and updating regularly. As his advice is overturned, he feels regretful. 7 users 33739
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
安全なPHPアプリケーションの作り方2016
PHPカンファレンス2020での講演資料です。 アジェンダ 誤解1: Cookieは誤解がいっぱい 誤解2: 脆弱性があるページにのみ影響がある 誤解3: 脆弱なECサイトはセキュリティコードを保存している 誤解4: クレジットカードをサイトに保存すると漏洩リスクが高まる 誤解5: ハッシュ値で保存されたパスワードは復元されない 誤解6: 高価なSSL証明書ほど暗号強度が高い 誤解7: TRACEメソッドの有効化は危険な脆弱性である 誤解8: 怪しいサイトを閲覧すると情報が盗まれたりウイルスに感染する 誤解9: イントラのウェブサイトは外部からは攻撃できない 誤解10: セキュリティ情報はウェブで収集する
アプリのパスワードを管理する「パスワードノート」が画期的だと話題に : IT速報
ネットやスマホの「アプリ」利用などで、必ず設定が求められる「ユーザーID」と「パスワード」。同じものの使い回しや誕生日、電話番号は危険だが、複雑なものにすると忘れてしまう事も。そんな悩みを解消してくれる「パスワードノート」が話題。 ノートはA5サイズ44ページで、パスワードを管理したいサイトごとに1ページを使う。各ページには、六角形の枠が上下に「8」の字形に並んだマス目と、サイトの名前やID、アドレスなどを記入する欄がある。 48あるマス目で「起点」を決め、「右回り」「左回りで2つ飛ばし」など、自分で決めたルールに従ってパスワードを記入。各ページには解読のための「ヒント」を記入する欄があり、自分に分かるようヒントを書く。余ったマス目にカムフラージュ用の英数字を書き込めば、書いた本人以外は解読できない仕組みだ。 開発した「アマノコトワリ」代表の酒井麗さんは、自身がパスワードを覚えきれなくなっ
「パスワード忘れた」をノートに書き留めて解消! アナログなのに画期的な「パスワードノート」が話題(1/2ページ)
インターネットやスマートフォンの「アプリ」利用などで、必ず設定が求められる「ユーザーID」と「パスワード」。同じものの使い回しや誕生日、電話番号は危険だが、複雑なものにすると忘れてしまう-。そんな悩みを解消してくれると話題なのが、奈良県天理市のデザイン会社が開発した「パスワードノート」だ。ネット販売のみながら、50代男性を中心に売り上げを伸ばしているという。 ノートはA5サイズ44ページで、パスワードを管理したいサイトごとに1ページを使う。各ページには、六角形の枠が上下に「8」の字形に並んだマス目と、サイトの名前やID、アドレスなどを記入する欄がある。 48あるマス目で「起点」を決め、「右回り」「左回りで2つ飛ばし」など、自分で決めたルールに従ってパスワードを記入。各ページには解読のための「ヒント」を記入する欄があり、自分に分かるようヒントを書く。余ったマス目にカムフラージュ用の英数字を書
「パスワードは定期的に変更してはいけない」--米政府 (ニューズウィーク日本版) - Yahoo!ニュース
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた
無線LAN無断使用「違法です」 無罪判決で総務省見解:朝日新聞デジタル
隣人の無線LANのパスワードを解読して使ったことが電波法違反にあたるかが争われ、東京地裁が4月に無罪判決を出したことに絡み、総務省は12日、「同様の事例は電波法違反にあたる」との見解を示した。パスワードの解読のために通信を傍受して悪用することが、電波法が禁じる「無線通信の秘密の窃用(盗んで使うこと)」にあたるという。 裁判では、パスワードそのものが通信の秘密にあたるかどうかが争われた。判決は、パスワードは通信されていないため通信の秘密にあたらないと判断され、電波法上は無罪とした。 総務省によると、今回解読されたのは「WEP」という古い方式の暗号で、解読する機器が出回っているという。利用者のパソコンなどが無線LAN機器に送っている通信を傍受し、それを複製して無線LAN機器に送ることでデータを入手、これを分析してパスワードを解読する仕組みだ。 この行為は電波法109条第1項に違反し、1年以下の
パスワードがmaxlengthを超えてもユーザーは気づかない | 水無月ばけらのえび日記
公開: 2013年3月11日11時25分頃 三菱UFJニコスから、「パスワードの入力桁数に関するご案内」というPDF文書が出ています。 パスワードの入力桁数に関するご案内 (www.cr.mufg.jp)「三菱UFJニコス」という名前の通り、複数の会社が合併し、サービスも統合されたわけですね。従来はログインフォームが別々で、パスワードの長さもまちまちだったものを、ひとつのログインフォームに統合……したところ、ログインできなくなる人が現れたという話のようで。 原因は以下のように説明されています。 ①リニューアル前のMUFGカード(UFJカード含む)、DCカード、NICOSカードのWEBサービスの(ID登録及び)ログインの際、パスワードは下記「パスワード規定桁数」を超えて入力することができませんでした。 ②リニューアル後のNEWS+PLUSログインページでは、弊社のどのブランドWEBサービスに
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
どうせやったふりのセキュリティ『暗号化Zipパス別送をやめろの歌』が誕生!現場からは「パスワードもいっしょに添付してる」などの声
面倒なパスワード入力がブロックチェーンで不要に?データを自動で暗号・復号化するセキュアシステムの提案名古屋で開催された「Blockchain for Enterprise 2018」レポート
http://www.igeekinc.com/oshiete/zip_file_on_mac.shtml