ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口*ホームページを作る人のネタ帳
本当に怖い「パスワード破り」:ITpro
パスワードを破ってFTPサーバーやSSHサーバーに不正侵入しようとする攻撃が後を絶たない。IBM ISSのセキュリティオペレーションセンター(SOC)でも多数検知している。本稿ではパスワード解析の脅威を再認識していただくために,ハニーポット[注1]を使った調査結果を基に,その実際の手口を解説したい。 注1 ハニーポットとは,攻撃者やワームなどをおびき寄せ,侵入後にどんな行動をとるかを監視・観察するためのシステムのこと(用語解説)。今回使用したハニーポット環境では,侵入した攻撃者が悪用できないようにアクセス制限を施し,外部への不正なパケットを制御した。 侵入後の振る舞い ハニーポットによる調査期間は2006年9月1日から9月25日。以下では,実際にパスワードを破られて侵入された事例を紹介する。 システム・ログを確認したところ,この事例では,SSHサービスに対する認証が特定のIPアドレスから3
高木浩光@自宅の日記 - ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない
■ ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない これが「脆弱性」として合意されるかどうかわからなかったが、脅威と対策をまとめてIPAに届け出てみたところ、受理され、当該サイト(複数)は修正された。以下、この問題がどういうもので、どうするべきなのか、はてなのケースを例に書いておく。 4月にこんな話が盛り上がりを見せていた。*1 ソーシャルブックマークユーザーのIDとPASSをいとも簡単に抜き取る手口, ホームページを作る人のネタ帳, 2007年4月6日 Bボタンフィッシングとは何? 記事の最後には私のブログでもおなじみの、はてなブックマークへ追加ボタンや、バザールのブックマークボタン(Bボタン)を設置しているブログを最近良く見かける。何気なく私はそれを利用したりしている。(略)『あれ?セッションがきれたのかな』と思い、自分のIDとパスワードを入れてログイン。
第12回 パスワードの決め方を考える
セキュリティ上重要なので、長く、複雑で、フレーズになっていないパスワードを作ってください。そして定期的に変更してください──。理屈では分かっても、実際に運用するのはたいへんなことだ。実際に使えるパスワードの作り方を考える。 PCでもWebサービスでも、使う際に必ずついて回るのがIDとパスワードだ。「あ、どんなパスワード入れたか忘れちゃった……」「これは! と思うパスワードを全部入力したけどダメだった」「えーと、どんなパスワードにしよう。前と同じでいいかな?」 ほとんどの人はこんな経験をしたことがあるはずだ。その理由の1つは、守るべき要素と、運用上の使い勝手がほとんどの場合矛盾しているからである。 一般に、パスワードについては下記のようなことが“セキュリティ上重要”だと言われる。 同じパスワードを使わないこと → だからどのパスワードを使ったか分からなくなる パスワードは定期的に変更すること
【レビュー】Webサービスのニューフェース"PassPack" - 複数パスワードの管理ならおまかせを! (1) 使いやすくて安全なパスワード管理術なんて実在するの? (MYCOMジャーナル)
PassPackとは 各種SaaSで使っているサインイン/ログインアカウント、電子メールアカウント、各種IMアカウント、オンラインメールアカウント、フォーラム/チャットアカウント、アプリケーションで使っているアカウント、システムへのログインアカウントなど、サービスのWeb化が進むに従って管理しなければならないパスワードは増える一方だ。会社のPCから、出先のノートPCから、自宅のデスクノートからそれぞれアクセスするとなると、アカウント情報を記載したファイルを共有する必要があるが、どんな方法でコピーするにしてもあまり安全とはいえないし、なにせ面倒くさい。 図1 PassPack – オンラインでパスワードを管理を実施するためのWebサービス 図2 Webブラウザにおけるアクセスは基本的にHTTPSを経由して実施されている そこでオンラインで各種パスワード情報を管理しようという発想が出てくるのは
How to Bypass BIOS Passwords
Toshiba BIOS Most Toshiba laptops and some desktop systems will bypass the BIOS password if the left shift key is held down during boot IBM Aptiva BIOS Press both mouse buttons repeatedly during the boot Using the Motherboard "Clear CMOS" Jumper or Dipswitch settings Many motherboards feature a set of jumpers or dipswitches that will clear the CMOS and wipe all of the custom settings including BIO
Microsoft Support
All Microsoft Global Microsoft 365 Teams Copilot Windows Surface Xbox Deals Small Business Support Software Windows Apps AI Outlook OneDrive Microsoft Teams OneNote Microsoft Edge Skype PCs & Devices Computers Shop Xbox Accessories VR & mixed reality Certified Refurbished Trade-in for cash Entertainment Xbox Game Pass Ultimate PC Game Pass Xbox games PC and Windows games Movies & TV Business Micro
[N] Mac OS Xのパスワードをリセットする方法
Reset your lost OS X passwordというエントリーより。 If you’ve ever forgotten your user account password in OS X, the Hackszine weblog details the simple process of resetting or changing your password. Mac OS Xでパスワードを忘れてしまった際に、リセットする方法が説明されている「HOWTO: Reset a lost OS X password」というエントリーが紹介されていました。必要なのは「username」となっています。 コマンドラインから以下の作業をするそうです。 ・Hold Apple+S when booting to enter single user mode ・#sh /etc/rc ・#
![[N] Mac OS Xのパスワードをリセットする方法](https://cdn-ak-scissors.b.st-hatena.com/image/square/4551a4c386239a8a918ba852f25cb4d77440b9fb/height=288;version=1;width=512/https%3A%2F%2Fnetaful.jp%2Fwp-content%2Fuploads%2F2021%2F03%2Fog-image.png)
BIOSパスワードをバイパスする方法あれこれ - GIGAZINE
BIOSというのはキーボードなどの周辺機器を制御する一種のプログラムで「Basic Input and Output System」の略。Windowsなどの各種OSが起動する前に起動して認識してくれるわけです。なので、このBIOSの起動時にパスワード入力が必要なようにするという手段も多いわけです。 で、このBIOSパスワードをバイパスする方法がいろいろあるわけです。 注:以下、自己責任でご使用下さい。真偽は分かりません。 How to Bypass BIOS Passwords Award BIOS、AMI BIOS、Phoenix BIOS、ならびにその他のよく使われているパスワード、DELL、IBM、東芝などのよく使用されているBIOSパスワードが掲載されています。 なお、この記事によると東芝のBIOSは左のシフトキーを押しながら起動するとバイパスできるそうです。 IBMのAptiv
3分LifeHacking:誕生日や電話番号以外のパスワードを考える - ITmedia Biz.ID
4桁の数字を決めてください──と言われて、家族の誕生日や実家の電話番号を思い浮かべてしまう方。いろいろな定数を使い、覚えている数字の幅を広げてみては? あなたの暗証番号は、「奥さんの誕生日」「子供の誕生日」「実家の電話番号」──。ギクッとした人はいるだろうか。 実際、ある調査会社が非公開で行ったパスワードに関するアンケートでは、ほとんどのユーザーが“分かっちゃいるけど”誕生日などの身近な数字を使っていたようだ。ダメと言われていても、実際はそういった数字そのものであることが多い。 いや、そうした数字を使ってはいけないことは知識としては分かっているのだ。でも、それならどんな数字(しかも覚えていられるもの)を使えばいいのか。 今回は、特に作成しにくい数字のパスワードについて、誕生日や電話番号を使わない作り方を考える。 数学的な定数を使ってみる パスワードに向いている数字に必要なのは、自分で覚えて
パスワードを突破するまでの速度一覧
パスワード設定時に「文字数が多く、そして文字の種類が多ければ多いほど突破されにくくて安全」というのはよく聞きますが、実際のところはどれぐらい打ち破られにくいのかというのをまとめたのがこの図表です。数字のみの場合、アルファベットのみの場合、アルファベットと数字の場合、記号も含めた場合などの各種パターンで算出されています。 Password Recovery Speeds http://www.lockdown.co.uk/?pg=combi&s=articles 突破方法はクラスAからクラスFまでの各段階が存在し、 A. 10,000/秒 Microsoft OfficeファイルのパスワードをPentium 100MHzで突破する場合 B. 100,000/秒 Windows Password Cache (.PWLファイル)をPentium 100MHzで突破する場合 C. 1,000,0
自分に関係のあるキーワードからパスワードを生成してくれる『Password Bird』 | 100SHIKI.COM
自分に関係のあるキーワードからパスワードを生成してくれる『Password Bird』 April 3rd, 2008 Posted in 便利ツール(ウェブ) Write comment シンプルで感じが良かったのでご紹介。 Password Birdはいわゆるパスワードを生成してくれるジェネレータである。ただ、まったくランダムなパスワードというわけではなくて、ある程度覚えやすいようなものを作ってくれる。 使い方は簡単で、自分にとってなじみのあるキーワードや日付を入力し、「Create Password」をクリックするだけだ。 そうするとそれっぽいパスワードを作ってくれる。もちろん気に入らなかったら何度でもやり直すことができる。 パスワードについてはさまざまな議論があるだろうが、まったくのランダムよりは覚えやすいものを・・・と考えている人にはいいだろう(あまりにランダムだとメモしてしまう
「パスワードは書きとめて」:アップル、Macユーザーにアドバイス - CNET Japan
AppleがMacユーザーに対し、忘れたときに備えてパスワードを書きとめておくよう勧めている。 Appleは同社のウェブサイトMac 101に「My Mac Cheat Sheet」(PDFファイル)という文書を掲載している。その文書には、Mac OS X関連のユーザー名やパスワードだけでなく、電子メール、ISP、ルーターなどのログインアカウントを書きとめておく欄もある。 Appleはウェブサイトで「あなたや、Macに詳しいあなたの家族や友人のMacライフが少しだけ楽になるよう、忘れやすい情報を記入して安全な場所に保管しておくためのフォームを用意しました」と説明している。 Appleはどうかしてしまったのではと思うかもしれないが、そうではない。パスワードを付箋に書いてコンピュータのモニタやキーボードに貼り付けておくのは賢明ではないが、情報を書きとめて安全な場所に保管しておくのは有益である。
Ophcrack 2 -- The fastest Windows password cracker
What is ophcrack? Ophcrack is a free Windows password cracker based on rainbow tables. It is a very efficient implementation of rainbow tables done by the inventors of the method. It comes with a Graphical User Interface and runs on multiple platforms. Features: » Runs on Windows, Linux/Unix, Mac OS X, ... » Cracks LM and NTLM hashes. » Free tables available for Windows XP and Vista/7. » Brute-for
いろいろなネットワーク機器などのデフォルトパスワードリスト
主にシステム・アドミニストレータ向けに作成されたリストで、何かの理由でパスワードを紛失し、初期状態のパスワードを使わざるを得なくなった際にすぐに役立つようにできています。覚えておいて損はないかも。ネットワーク機器が多いですが、それ以外のも掲載されています。 リストは以下から。 Default password list http://dopeman.org/default_passwords.html 掲載されているメーカーは3Com、ACC、Adaptec、APC、Apple、AT&T、AXIS、BreezeCom、Buffalo/MELCO、Cisco、Compaq、Dell、Ericsson、fujitsu、Hewlett Packard、IBM、Intel、Linksys、Netgear、Novellなど。確かにいざ設定するという時になってパスワードを忘れてしまうことが多く、マニュ
CLUB Pocket PC
すべての Microsoft 製品 Global Office Windows Surface Xbox セール サポート ソフトウェア Windows アプリ OneDrive Outlook Skype OneNote PC とデバイス アクセサリ エンタメ Xbox ゲーム (ダウンロード) Windows ゲーム 映画とテレビ番組 法人向け Azure Dynamics 365 Microsoft 365 データ プラットフォーム 法人向け Developer & IT .NET Visual Studio Windows Server デベロッパー センター ドキュメント その他 Microsoft Store Microsoft Rewards 無料ダウンロード & セキュリティ プリペイド カード サイトマップの表示
Firefox のパスワード情報の移行 - えむもじら
Firefox のプロファイル間のパスワードの移行方法が紹介されていたのでメモ。 プロファイルフォルダの以下のファイルをコピーすれば OK。 Mozilla Re-Mix: 別プロファイルでFirefox 3 Beta版を使う場合にデフォルトプロファイルからパスワードを移植する方法。 cert8.db cookies.txt hostperm.1 key3.db secmod.db signons.txt(signons2、signons3の場合もあります) ちなみに、私は新規プロファイルを作る場合に移行するのは基本的にはブックマークと Adblock のフィルタ情報だけです。パスワードと Noscript のフィルタ情報は必要に応じて一から覚えさせます。そのほうが不要情報の棚卸になりますし、ブラウザに覚えさせたパスワード情報に頼りっきりになるのを防ぐこともできます。パスワードは数個を使い
「パスワードは90日ごとの変更」が義務づけられる!?
個人情報保護,内部統制,グリーンIT…。米国でブームになったことが2年くらい遅れて日本でブームになるというのはいつものことだが,もしかすると次のブームになるかもしれないのが,「PCIDSS(PCIデータセキュリティ規準)」である。 PCIDSSとは,有力なカード・ブランド会社5社が2004年12月に共同で策定した情報セキュリティの規準(関連記事)。情報システムからのカード情報の漏洩を防ぐためのものである。「カード会員データを保護するためにファイアウォールを導入し、最適な設定を維持すること」「システムパスワードと他のセキュリティ・パラメータにベンダー提供のデフォルトを使用しないこと」など12項目の要件で構成されており,各項目はさらに具体的な中項目,小項目に分けられている。 PCIDSSは,クレジットカード会社のためだけの基準ではなく,幅広い事業者が対象になる。PCIDSSを推進する立場にある
知らされなかったパスワード--ユーザーの死が封印するアカウントと遺族のアクセス - CNET Japan
アイルランドの市民権も持つサンフランシスコの著名な詩人で、世界中にファンがいるWilliam Talcott氏が、骨髄のがんのため6月に亡くなった。そのときTalcott氏の娘は、同氏の知人の大半にその死を知らせることができなかった。それというのも、Talcott氏のメールアカウントとオンラインのアドレス帳がパスワードでロックされていたからだ。 ビートニク(ビート族)Neal Cassadyの友人だったTalcott氏(69)は、どうやらパスワードも墓の中に持って行ってしまったようだ。 これは、残された遺族にとって厄介な問題であり、最近多くなってきている。生活、アドレス帳、予定表、財務情報の管理をオンラインに移行する人たちが増えている。そうした人たちは、フォルダやデスクトップに生前しまいこんだ情報を2度と復元できなくなる危険を冒している。言い換えれば、セキュリティ上の脅威となるパスワードの
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Bugmenot.com - login with these free web passwords to...