Webアプリでパスワード保護はどこまでやればいいか
1. YAPC::ASIA TOKYO 2011 Webアプリでパスワード保護は どこまでやればいいか HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem Copyright © 2011 HASH Consulting Corp. 1 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを
忘れたパスワードを問い合わせられるシステムなんて作っちゃいけない | 初代編集長ブログ―安田英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
ABlog これからの携帯端末には、すべて逆パスワード機能をつけて欲しい
先日、こんな記事を見かけました。 iPhoneの画面ロックを解除するためのパスワードに、かなりの人が『1234』や『0000』を使っているという記事です。ロックの意味がありません。こういうの、あらゆる場面でもう100万回くらい警告されているはずですが、一向になくならないですね。人間は痛い目に遭って初めて学習するので、まあ仕方ない事です。 で、多分何度か言っている事ですが、iPhoneなどの端末に、パスワードの逆の働きをする『逆パスワード』をつけて欲しいです。『0000』や『1234』、自分の生年月日などを逆パスワードに設定しておくと、そのワードが入力されたら起動ロック、カメラで写真を撮り、GPSで現在位置を取得して、あらかじめ決めてあるメールアドレスに送信する、という機能です。 この機能があると、端末を盗んだり拾ったりしても、うかつに適当なパスワードを入れてみる、という事がしづらくなります
ハッカーがあなたのパスワードを破るまでにかかる時間は?
こんなにも違ってくるものなのですね! パスワードを決めて下さい、と言われるとつ覚えやすくて簡単なのをいれてしまいますが、アルファベット小文字のみで6文字以下だと、ほんの10分くらいでハッキングされてしまうのですね。 一方、小文字大文字混ぜて数字と記号も混ぜて9文字以上だとパスワードハックするのに4万4530年もかかるんですよ。これはもう難攻不落ですね。 小文字と大文字まぜて数字と記号もまぜたパスワードにして下さいと言われると、ちっ! とついつい思っていましたが、こうもハッキングされる時間に違いが表れるとは! ちっ! とついつい思っててごめんなさい。 [BusinessWeek via Neatorama] そうこ(Casey Chan 米版)
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
Mozilla Re-Mix: Firefoxのパスワードマネージャに保存されたパスワードをインポート・エクスポートできる「Password Exporter」
Firefoxであれこれブラウジングしていると、それぞれのサイトでIDやパスワードを入力する場面があります。 これらのIDやパスワードは、数が多くなってくるとFirefoxに標準で付いているパスワードマネージャに記憶させておくと毎回入力の必要がなく便利ですね。 しかし、多くのID・パスワードを保存しておいても、万一なんらかのクラッシュなどが発生した際思い出すのが大変です。 「Password Exporter」は、そういったトラブルに備え、このパスワードマネージャに記録されているID・パスワードをエクスポートして保管しておくことができる拡張機能です。 このアドオンをインストール後ID・パスワードを保管したい場合、Firefoxのツール→オプション→セキュリティタブを開きます。 セキュリティタブの”パスワード”部分に”Import/Export Password”というボタンが追加されていま
レインボー・クラック
レインボー・クラックとは悪用が懸念されている強力なパスワードの解読手法である。「アルファベットや数字,使えるなら記号も組み合わせて最低でも8文字以上のパスワードを作る」──。パソコンやネットワークへログインする際に使うパスワードは,こんな原則に基づいて作るのが常識となっている。簡単に推測できそうな,人名や地名のような意味のある単語はもちろん使えない。こうした原則に従って作れば,今でも多くのシステムで安全なパスワードとして十分通用する。 しかし,レインボー・クラックの登場より,一部のシステムではこうした原則が必ずしも通用しなくなりつつある。特に危険なのがWindowsだ。現在主流のWindows XPでは過去との互換性確保のためOSの標準設定がセキュリティ的に弱い状態になっており,このレインボー・クラックによって潜在的にパスワードを盗まれる危険にさらされている。 レインボー・クラックがどのよ
平文パスワードの再送問題について
MySoftbankの「パスワード確認」機能がパスワード再発行ではなく過去に設定したパスワードを平文で再送してきたことについて愚痴ったら、ツッコミが入った件。 論点はハッシュから元パスワードが復元できるか?という話になってます。 この点に関してはどうも@kawazの認識に間違いがあったようです。 今回はこの分野について勉強しなおすよい機会になりました。 続きを読む
ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグイン:phpspot開発日誌
ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグイン 2010年11月15日- SelectBox Plug-in ユーザ登録時にパスワード強度表示を入れてと言われた場合にサクッと実装できるjQueryプラグインのご紹介。 ユーザ登録の際に、パスワード強度を表示するサイトが多くなってきていますが、利用者がパスワードを決める場合に注意が働くためサイト全体としての安全性が高まるという点で効果がありそうですね。 仕事でサイトをつくっていて、あの機能入れてくれといわれた場合に、瞬時に実装できそう。 パスワードが弱い場合は次のように表示されます。 いい感じの場合はGoodが表示されます。 出し方は次のようにメソッドに渡すオプションを変更するだけでかえられます。 IDとパスワードが同じでもエラーを出せたりします。 関連エントリ パスワード生成や年齢計算等、P
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
決定版! パスワード変更法、使用法、管理法 | ライフハッカー・ジャパン
以下、詳しく紹介します。 まず、ポイント サイトごとに、異なる強いパスワードを作成し、使用するのがポイントです。簡単なパスワードや、辞書に載っているような言葉で作成したパスワードは、容易にクラックされます。さらに、パスワードを暴くサイトも数多く存在するので、同じパスワードや似た文字列のパスワードを、複数ヶ所で使用するのは避けるべきです。 パスワードを忘れてしまった際に、再度パスワードを送信してくれるサービスの利用にも、注意が必要です。そのメールをアーカイブしていると、メールにアクセスできる人であれば、誰でも見られてしまいます。 そこで、誰にもアクセスできない、当てずっぽうで的中しないパスワードを設定し、強固な管理システムを導入しましょう。入力の必要もほぼ無くなるので、忘れてしまってアタフタすることも減ります。 パスワードの法則を作成 米 Lifehacker を立ち上げた Gina が作成
メール・FTP・ベーシック認証のパスワードを表示するフリーソフト「SniffPass」 - GIGAZINE
通信内容をキャッチすることによって、POP3・IMAP・SMTP・FTP・HTTPのパスワードを表示することができるフリーソフトがこの「SniffPass」です。「このメールアドレスのパスワードなんだったっけ?」という場合や「FTPのパスワードがわからないので実際に使っているFTPソフトの設定を見たが***になって表示されない」という場合に便利です。 パケットキャプチャ用のドライバは「WinPcap」と「Microsoft Network Monitor」が使用可能となっており、「Microsoft Network Monitor」のドライバを使えば無線LANからもパスワードを抜き出すことが可能となります。 というわけで、ダウンロードと使い方は以下から。 ◆有線LANの場合 まずは下記サイトから「WinPcap」をダウンロードします。 WinPcap, the Packet Capture
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Mozillaが伝授! 安全で忘れにくい、超シンプルなパスワード設定法 | ライフハッカー・ジャパン