by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
インターネットのパスワードを定期的に変更するよう呼びかけてきた総務省は、変更のしかたによってはかえって不正アクセスを受けやすくなるとして、安全なパスワードの場合は定期的に変更する必要はないと呼びかけの内容を改めています。 しかし去年11月、この呼びかけの内容を、「定期的に変更する必要はない」に改めました。 その理由について総務省は、パスワードを定期的に変更すると、かえってパスワードの作り方がパターン化したり、複数のサイトで同じパスワードが使い回されるおそれが高まったりして、不正アクセスを受けやすくなるためとしています。 これは「内閣サイバーセキュリティセンター」などが示した考え方に基づいた対応で、パスワードが十分な長さになっていることなどを前提に、定期的な変更は必要ないとしています。 一方で、情報の流出が疑われる場合はパスワードをすぐ変更するよう呼びかけているほか、複数のサイトで同じパスワ
Tumblrから盗まれたユーザー情報、その数6500万件だったことが判明2016.05.31 13:23 そうこ やっちまった。 今月12日、Tumblrが2013年のデータに関して第三者からの不正アクセスがあったことを明かしたことで、一部ユーザーのメールアドレスとパスワードが流出したことがわかりました。盗まれたのは何件で、何人のユーザーが影響を受けるのかについては明言されていませんでした。が、どうやら、その数6500万件だそうで。 ハッキングによって流出した情報のコピーを入手し調査したのは、セキュリティリサーチャーのTroy Huntさん。ネタ元のMotherboardにて、流出したメールアドレスとパスワードはあわせて、6546万9298件だったことを明かしました。一方で、パスワードはハッシュ化/ソルト化して保護されていたといいます。この点は、データを抜いたと自称するハッカー「Peace
ヤバい写真ものぞかれた!? 女性芸能人らの会員制交流サイト(SNS)に不正にログインし、個人情報をのぞき見したとして、警視庁サイバー犯罪対策課は不正アクセス禁止法違反容疑で長崎県在住の会社員・金子大地容疑者(29)を逮捕した。被害に遭ったのは女優の長澤まさみ(28)や北川景子(29)、武井咲(22)ら。盗み見されたもののなかには、家族や友人のほか異性との“マル秘写真”が含まれていた可能性も。ITジャーナリストの井上トシユキ氏は「ハッキングが遊び感覚で行われる時代が来るかもしれない」と警告する――。 サイバー犯罪対策課によると、金子容疑者は2014年8月~15年11月、芸能人や一般女性計4人のフェイスブック(FB)に不正にログインしたほか、芸能人5人のアイクラウドに合計236回アクセスした疑いが持たれている。 アイクラウドとは、インターネットを通じてスマートフォンなどのデータを保存する「クラ
ブログ書いたエクセルのシート保護のパスワードがわからない場合の対処法 http://t.co/weLmPgbple
なんて悲惨な結果…… 5位のqwertyにちょっと創意工夫を感じたが、他はまあ……そうだな、野球とドラゴンとサッカーが好きなんだな。うん。 英語圏なので日本人とはやや感性が異なるが、誕生日を除けば似たような結果が出てくるような気もする。「123456」などは以前にツイッターが使用を禁じた370パターンのパスワードにも含まれており、危険な状況は変わっていない。 暗号の歴史は、数学と計算機(コンピューター)の進化の歴史でもある。グーグルも目をつけている量子コンピューターの研究も進む中、昔ながらのパスワードに代わる技術は出てこないものか。 写真:Yuri Samoilov ■関連サイト Splashdata Facebook
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明したと思います。比喩によって精密な議論ができるとは思っておりませんので、あくまでも主観的な「もやもや」を説明する方便として読んでいただければ幸いです。ここに登場する佐藤は架空の人物です。 徳丸: 佐藤君は自宅の鍵を定期的に取り替えていると聞いたんだけど、本当? 佐藤: 本当ですよ。毎年に替えています。毎年年末に鍵を取り替えて、安心な気持ちで新年を迎えるんです。徳丸さんは替えてないんですか? 徳丸: 替えないよ。鍵を落としたりしたらまた別だけど、そういうのでもなければ替えないよね。佐藤君はなぜ毎年替えるの? 佐藤: だって
1Passwordの便利さはログイン以外で役に立つことだった - ごりゅご.com
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
カードの暗証番号4桁、最もよく使用されている番号トップ202014.09.28 13:301,111,042 もし、あなたの暗証番号がここにあれば変更をオススメします。 パスワード選びは苦労します。カードの4桁の番号なんて0-9のたった10個の中から選ぶわけですが、それでもいろいろ悩みますよね。忘れないような番号、でも簡単すぎないもの。そうして選ぶ4桁の番号ですが、そりゃ誰か他の人とかぶっていることだってもちろんあるわけです。だとしても、最も良く使用されている暗証番号が、まさか「1234」だとは...。まさかそんな安易な...。 セキュリティのプロニック・ベリー(Nick Berry)氏が、以前に表に出たことがある暗証番号を元に最も使用頻度が高いものと最も少ないものをそれぞれ20個ずつ出しています。「1234」は、10%にも近い人が使用しているのです! ナンバー2以降も「1111」「000
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語、スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW
JALの6桁数字パスワード問題から派生して、JALのサイトがパスワードリマインダとして「現在のパスワード」を教えてくれることから、JALサイトではパスワードを平文保存しているのではないかという疑惑が持ち上がっています。それに対して、「いやいや、従来の主流と思われるソルト付きMD5ハッシュでの保存しても、実用的な速度でハッシュ値から元パスワードを『解読』できるよ」と、JALを擁護(?)するエントリが現れました。 パスワード問合せシステムを作る (clojureのreducers) この記事では、最初Clojureによる単純な総当たりで36秒、Clojureのreducersによる並列化で11秒でハッシュ値から元パスワードが求められるよ、と説明されています。まことに痛快な記事ですので、未読の方には一読をお勧めします。 とはいうものの、100万件のMD5の総当たりが、逐次実行で36秒、並列化して
■ 数字6桁の暗証番号が危険なのは総当りで簡単に解かれてしまうから、というわけではない JALマイレージバンクの不正アクセスが発覚して数日、いろんな人の意見を読んでいるのだけど「数字6桁の暗証番号*1は今どきのPCなら総当りでもすぐに解けてしまうから脆弱だ」という意見がみられて、それはまぁそうなんだけど、今回のような事件に関しては適切な表現ではないと思う。 ちなみに、'000000'から'999999'までバカ正直に順番にMD5を計算し、結果を別途計算してあった正解と比較するプログラムを実行すると、手元の環境ではたった1.5秒しかかからない*2。それでもJMBの会員2700万人分を計算すると450日余りかかることになるが、これだって今どきならクラウドで100コア分調達すれば4日ちょいで解ける計算だ*3。 じゃあやっぱり総当りで解けちゃうから危ないじゃんと思うかも知れないが、この計算が成り立
※同様のサイトをまとめています。Twitter( @reynotch )で情報お待ちしております。ハッシュタグ #weakpassword 付きのツイートでも結構です。 →脆弱なパスワードを強制するサイトまとめ - NAVER まとめ 日本航空(JAL)が運営する「JALマイレージバンク」のWebサイトで、不正に「Amazonギフト券への特典交換サービス」が利用されたことが発覚、2014年2月2日 16時以降、特典交換サービスを停止しています。 JALマイレージバンク(以下、「JMB」)会員向けの特典交換サービスの一つである「Amazonギフト券への特典交換サービス」に関して、JALホームページを通じてお客さまの意図しない交換がなされたケースを確認したため、2014年2月2日 16時以降、当該特典交換サービスを停止しています。 JAL - JALマイレージバンク特典「Amazonギフト券へ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
