Webアプリでパスワード保護はどこまでやればいいか
1. YAPC::ASIA TOKYO 2011 Webアプリでパスワード保護は どこまでやればいいか HASHコンサルティング株式会社 徳丸 浩 twitter id: @ockeghem Copyright © 2011 HASH Consulting Corp. 1 2. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、研究、社内展開、寄稿などを
忘れたパスワードを問い合わせられるシステムなんて作っちゃいけない | 初代編集長ブログ―安田英久
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
ABlog これからの携帯端末には、すべて逆パスワード機能をつけて欲しい
先日、こんな記事を見かけました。 iPhoneの画面ロックを解除するためのパスワードに、かなりの人が『1234』や『0000』を使っているという記事です。ロックの意味がありません。こういうの、あらゆる場面でもう100万回くらい警告されているはずですが、一向になくならないですね。人間は痛い目に遭って初めて学習するので、まあ仕方ない事です。 で、多分何度か言っている事ですが、iPhoneなどの端末に、パスワードの逆の働きをする『逆パスワード』をつけて欲しいです。『0000』や『1234』、自分の生年月日などを逆パスワードに設定しておくと、そのワードが入力されたら起動ロック、カメラで写真を撮り、GPSで現在位置を取得して、あらかじめ決めてあるメールアドレスに送信する、という機能です。 この機能があると、端末を盗んだり拾ったりしても、うかつに適当なパスワードを入れてみる、という事がしづらくなります
パスワードの定期変更という“不自然なルール”
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
平文パスワードの再送問題について
MySoftbankの「パスワード確認」機能がパスワード再発行ではなく過去に設定したパスワードを平文で再送してきたことについて愚痴ったら、ツッコミが入った件。 論点はハッシュから元パスワードが復元できるか?という話になってます。 この点に関してはどうも@kawazの認識に間違いがあったようです。 今回はこの分野について勉強しなおすよい機会になりました。 続きを読む
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
Mozillaが伝授! 安全で忘れにくい、超シンプルなパスワード設定法 | ライフハッカー・ジャパン
安全にパスワードを設定する基本として「短くしすぎない」とか「同じパスワードを複数のウェブサイトで使いまわさない」などが提唱されていますが、ウェブサイトごとに別々の長いパスワードを設定しても、これらすべてを覚えるのは、なかなか難しいものですね。 最近では、パスワード管理ツールを利用するという手もありますが、こちらでは、安全だけど忘れにくい、シンプルなパスワード設定のコツについてご紹介しましょう。 Mozillaのセキュリティチームは、冒頭動画のようなパスワード設定のためのチュートリアルをまとめました。ここで提唱されているのは、以下の4ステップです。 1.覚えやすい文を選ぶ たとえば「A stitch in time saves nine」のように、覚えやすい文を選ぶ。このとき、「for」を「4」とか、「ate」を「8」といったように、同じような発音のものは、文字を数字に置き換えるとベター。日
決定版! パスワード変更法、使用法、管理法 | ライフハッカー・ジャパン
パスワードの強度の重要性は、誰もが認識しているでしょう。しかし、利用しているパスワードの数が多くて、しばらく使っていないものは覚えていなかったりしませんか? そこで今回は、古いパスワードのアップデート、新パスワードの作成、そしてその有効な管理方法について、ご紹介します。 パパッとできる作業ではありませんが、シンプルな工程をいくつか踏むだけなので、是非試してみてください。 パスワードの法則を作る 古いパスワードをリカバーする 使用しているブラウザ・モバイルの全てに、統一のパスワード管理拡張機能・プライグインをインストールする 作成した新しいシステムを、全てのウェブサイトで使用する 以下、詳しく紹介します。 まず、ポイント サイトごとに、異なる強いパスワードを作成し、使用するのがポイントです。簡単なパスワードや、辞書に載っているような言葉で作成したパスワードは、容易にクラックされます。さらに、
メール・FTP・ベーシック認証のパスワードを表示するフリーソフト「SniffPass」 - GIGAZINE
通信内容をキャッチすることによって、POP3・IMAP・SMTP・FTP・HTTPのパスワードを表示することができるフリーソフトがこの「SniffPass」です。「このメールアドレスのパスワードなんだったっけ?」という場合や「FTPのパスワードがわからないので実際に使っているFTPソフトの設定を見たが***になって表示されない」という場合に便利です。 パケットキャプチャ用のドライバは「WinPcap」と「Microsoft Network Monitor」が使用可能となっており、「Microsoft Network Monitor」のドライバを使えば無線LANからもパスワードを抜き出すことが可能となります。 というわけで、ダウンロードと使い方は以下から。 ◆有線LANの場合 まずは下記サイトから「WinPcap」をダウンロードします。 WinPcap, the Packet Capture
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
