2019年7月16日 6時0分 リンクをコピーする by ライブドアニュース編集部 ざっくり言うと ネットの専門家がパスワードに関する説について異論を唱えた パスワードの長さや複雑さはそれほど重要ではないと解説している 実際のネット攻撃では、パスワード自体の複雑性はあまり関係ないという by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワードの長さや複雑さはそれほど重要ではない」と解説しています。 Your Pa$ doesn't matter - Microsoft Tech Community - 731984 https://techco
情報セキュリティーコミュニティーにおいては、クレデンシャルスタッフィング攻撃の台頭について知らない者はいないとはいえ、犯罪者グループがどのようにこの攻撃を実行しているのかについてはほとんど知られていない。 クレデンシャルスタッフィング攻撃とは何か クレデンシャルスタッフィング攻撃はサイバーセキュリティー業界で用いられている用語であり、不正に取得したユーザー名とパスワードのペアを使って、他の複数のウェブサイトやアプリケーションへのログインを自動的に実行していくという攻撃手法を指している。 この攻撃は、企業から流出したユーザー名とパスワードのペアを手に入れれば、それを利用して他のサイトのアカウントにアクセスできることもあるという事実を前提としている。つまり、ユーザー名とパスワードのペアを複数のオンラインサービスで使い回す傾向にあるというユーザーの悪習に付け入るわけだ。 クレデンシャルスタッフィ
●連載:迷惑bot事件簿 さまざまなタスクを自動化でき、しかも人間より早く処理できるbot。企業にとって良性のbotが活躍する一方、チケットを買い占めるbot、アカウントを不正に乗っ取るbot、アンケートフォームを“荒らす”botなど悪性のbotの被害も相次いでいる。社会や企業、利用者にさまざまな影響を及ぼすbotによる、決して笑い事では済まない迷惑行為の実態を、業界別の事例と対策で解説する。著者は、セキュリティベンダーの“中の人”として、日々、国内外のbotの動向を追っているアカマイ・テクノロジーズの中西一博氏。 最近のサイバー攻撃のニュースを追っていると、不正ログインに起因する被害を目にする機会が増えてきた。この連載でも何度か取り上げてきた話題ではあるが、新たに発表されたいくつかの分析データを用いて、今回あらためてこの攻撃の動向とbotの関わりについて考察してみたい。 ●急増する不正ロ
個人情報を適切に扱う事業者に与えられる「プライバシーマーク(Pマーク)」を発行する一般財団法人の日本情報経済社会推進協会(東京・港)は10日、認定時の審査基準を改定し、インターネット利用時のパスワードの定期的な変更を不要にする方針を示した。総務省などの方針転換に対応した。Pマークを取得済みの約1万5千社・団体でも同様の動きが広がりそうだ。同協会が見直したのは企業が顧客らの個人情報を適切に扱って
筆者は主な業務としてペネトレーションテストや標的型攻撃耐性診断などを担当しており、2017年度に実施したテストの結果を分析してみました。まずは、筆者が実施しているペネトレーションテスト、標的型攻撃耐性診断がどういうものか簡単に説明したいと思います。 ペネトレーションテストはブラックボックステストと言われる手法を用いており、診断対象となるIPアドレスなどを提示いただき、対象とする環境に侵入できるか調査します。ブラックボックステストは攻撃者と同等に内部情報を把握していない状況からスタートします。実施するパターンとしてはインターネット経由で実施する場合とお客様のネットワークに診断用のPCを持参してオンサイトで実施する2つあります。どういうリスクを知りたいのかによって実施するパターンは変わってきます。インターネットからの脅威に対するリスクを知りたい場合はインターネット経由で実施する必要があります。
2017年6月に全面改定が行われた米国標準技術研究所(NIST)が発行するガイドライン「SP800-63」の中には「Webサイトは利用者に対し、パスワードの定期的な変更を要求すべきではない」という趣旨の一文が追加された。複雑なパスワードの強制と同様、定期変更の要求はメリットよりもデメリットが多かったのだ。 これは、研究成果からも判明している。OpenIDファウンデーション・ジャパンでSP800-63の翻訳を手掛けるメンバーの1人である、NRIセキュアテクノロジーズの勝原達也サイバーセキュリティ技術開発部セキュリティコンサルタントは、定期変更要求の非推奨につながった研究成果を紹介する。 米ノースカロライナ大学は、過去に大学に在籍していた学生とスタッフの1万のアカウントが使っていた、5万1141個のパスワードを解析した。同大学はパスワードは3カ月で変更が要求されるポリシーで運用していた。結果と
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
