@tokuhiromから教えてもらったのですが、COOKPADのスマートフォン向けWebサイトのログインページには、パスワードを「伏せ字にせず入力」するボタンがついているのですね。 さっそく見てみましょう。まずはログイン画面です。パスワード欄の下側に、「伏せ字にせず入力」ボタンが見えます。 「元に戻す」ボタンを押すと、伏せ字に戻ります。 僕はこれを知って興奮しました。なぜなら、拙著「体系的に学ぶ 安全なWebアプリケーションの作り方」には以下のように書いたからです(P337~P338)。 パスワード入力欄のマスク表示は、現在の常識的なガイドラインですが、実は筆者自身は疑問を持っています。パスワード入力欄をマスク表示にすると、記号や大文字・小文字交じりの安全なパスワードを入力しにくくなるので、利用者は簡単な(危険な)パスワードを好むようになり、かえって安全性を阻害するリスクの方が大きいのでは
アノニマス匿名のハッカーがpastebinにtwitterアカウントのユーザ名とパスワード55,000以上を漏洩させたという書き込みがありました。(注:当初anonymous hackersをアノニマスハッカーと訳していましたが、ここは「匿名の」という意味ですね。訂正します) 真偽のほどはよくわかりませんが、ここに貼られていたパスワードを少し分析してみました。当然ながら、このパスワードを使ってログインしてみる、というのは違法行為ですので、絶対にやってはいけません。以下はあくまでもパスワード文字列の統計的な分析です。 まず、貼られていたアカウントの数ですが、単純に数えると、58,978個あり、約59,000というところです。ところが重複がかなりあり、ユニークなID:パスワードの組み合わせだと、34,069に減少します。さらに、「同一ユーザ名でパスワードが異なる」組み合わせが6個ありました。
米Trustwaveがまとめたセキュリティに関する調査結果によると、世界の企業情報システムで最も使われているパスワードは「Password1」だという。米Microsoftの「Active Directory」の複雑な初期設定に適用できるパスワードであることが大きな要因と考えられる。 調査では、2011年に発生した300件以上のセキュリティ問題やネットワークおよびアプリケーションのスキャン結果、25種類のアンチウイルスツールなどを分析した。調査対象となったセキュリティ問題のうち76%は、システムサポートや開発あるいはメンテナンスを請け負っているサードパーティーがセキュリティの不備を招いていた。 また昨年の特徴の1つとしては、消費者の記録を狙う傾向が強く、個人を特定できる情報やクレジットカード情報などをターゲットにした攻撃がセキュリティ侵害の89%を占めたことである。 情報取得の手口では、犠
ちなみに、人名や地名など意味のある単語をパスワードに用いるのも危険。パスワードによく使われる単語のデータベースを使い解析を行う「辞書攻撃」という、「ブルートフォース攻撃」よりも効率的な攻撃手段があるのだ 画像提供:tooru sasaki/PIXTA 先日発覚した、三菱重工業など防衛関連企業に対するサイバー攻撃事件。今のところ、大きな被害は確認されていないようだが、セキュリティ対策に厳しい大企業でも、こうした被害にあうことを知って、自分のパソコンや携帯電話などの安全性に不安を感じた人もいるだろう。 ウィルス感染などに関しては、ウィルスの検知・駆除を行ってくれるセキュリティ対策ソフトを導入すれば、個人レベルならほぼ万全といえるだろうが、特に気を付けたいのがメールやウェブサービスなどで設定しているパスワード。いちいち覚えるのが面倒なので、一度決めたパスワードを変更しないで使っている人も多いと
公開: 2012年2月12日21時35分頃 このお話は興味深いですね……「「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 (d.hatena.ne.jp)」。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい そもそも、「定期的に変更するように義務づけ」ているのに、変更のスパンを決めていないというのがひどい話です。それでは、たとえ「100年に一回」でもポリシーを満たすことになってしまい、義務づけの意味がありません。しかし、実際にはそういうポリシーが多いというのが現実でしょうね。 徳丸さんの答えはこちら。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っ
NTTコミュニケーションズ(略称:NTT Com)が提供するOCNなど各種サービスのお客さま専用サイト「OCNマイページ」(*)において、システムの不具合が発生し、お客さまのOCNメールパスワードが別のお客さまによって変更可能な状態となっていたことが判明しました。 このような事態が発生し、お客さまに多大なご迷惑をおかけすることになりましたことを深くお詫び申し上げます。 今回の事象の発生を厳粛に受け止め、再発防止に努めますので、何卒ご理解を賜りますようお願い申し上げます。 1.発生事象(別紙) 「OCNマイページ」上で、お客さま(Aさま)がOCNメールパスワードを再設定する際、ご自身のOCNメールアドレスとは異なる別のお客さま(Bさま)のOCNメールアドレスを誤って入力してしまったケースにおいて、BさまのOCNメールパスワードが変更されてしまう事象が発生しました。これにより、Bさまがメールを
昨日Webサイトを守るためのセキュリティ講習会の講師を担当しました。講習会の終了後、受講生から「管理者パスワードの定期的変更」に関する質問がありました。備忘の為、質疑内容を以下に記録します。 Q1:上位ポリシーにて、管理者パスワードは定期的に変更するように義務づけられているが、何日毎に変更するのが正しいのか。最近の専門家の見解をお伺いしたい A1:専門家の見解は分かれているとお答えしました 現在の主流はパスワードを定期的に変更するべしという考え方ですが、それに異論を持つ人もいて、私もその一人です。 一般ユーザのパスワードとは異なり、管理者パスワードは、業務の必要上複数の人が知っている状況があります。その状況では、「定期的に変更」するのではなく、管理者パスワードを知っている人が、他業務に異動、あるいは退職するタイミングで遅滞なく変更するべきです。そうしないと、「管理者でなくなった人が管理者パ
第6回 経営者が注意すべき「パスワードクラッキング」:会社を強くする経営者のためのセキュリティ講座(1/3 ページ) 事業を支えるITのシステムがセキュリティ上の危険に晒されると、どのような影響があるのでしょうか。経営者が知っておくべき対策のポイントを専門家・萩原栄幸氏が解説する連載です。今回のテーマは「パスワードクラッキング」です。 「ハッキング」と「クラッキング」の違い ニュースなどで「システムがハッキングされた」という表現を耳にする機会があります。セキュリティに詳しくない人は、「ハッキング」という言葉を悪質な行為を意味するものと理解してしまいがちです。正しくは「ハッキング」ではなく、「クラッキング」と呼びます。 多くの企業経営者はセキュリティに詳しくない方がほとんどです。「システムがハッキングされた」という表現は正しいものではなく、意味を誤って理解してしまうと、その対策の仕方も誤って
中小企業向けの情報セキュリティの勘所 社団法人 情報セキュリティ相談センター 事務局長 株式会社ピーシーキッド 情報セキュリティ上席研究員 JSSM(日本セキュリティ・マネジメント学会) 理事 ACCS(社団法人 コンピュータソフトウェア著作権協会)技術顧問 NIS(ネット情報セキュリティ研究会) 相談役 金融ニュービジネス&テクノロジー研究会 常任アドバイザー CFE(公認不正検査士) 萩原 栄幸 Mail: hagiwara@pckids.co.jp jssm@hoshizora.jp 2010.7.10 Copyright © 2010 PC KIDS CO., LTD. All rights reserved. 1 講師略歴 旧通産省の情報処理技術者試験で最難関である「特種」に日本最年少で合格。早稲田大学 システム科学研究所に通学後、プロジェクトリーダーとして多数のシステムを担当。
既にこのブログでも報告しましたが、10月14日、YAPC::Asia Tokyo 2011でパスワードについてトークしてきました。スライドとビデオは以下のサイトにあります。 オフィシャルサイト HASHコンサルティング・オフィシャルブログ 私はWebアプリケーションのセキュリティを専門にしていますが、開発系のカンファレンスでしゃべる機会を増やしたいと思っています。Webアプリケーションの脆弱性は、つまるところWebアプリケーションのバグなので、開発者の方々にセキュリティのことを知ってもらわないと、脆弱性をなくすことはできないからです。 ということで、今年はYAPCの他に、PHPカンファレンスでもトークさせていただきました。PHPカンファレンスもYAPCも、トークを公募していて、誰でも応募できます。PHPカンファレンスの方は、昨年もトークに応募していて、文字コードの話をしました。このテーマは
PSN侵入の件から始めよう 今年のセキュリティの話題の中でも特に注目されたものとして、4月20日に起こったPSN侵入事件があります。5月1日にソニーが記者会見をネット中継したことから、ゴールデンウィーク中にもかかわらず多くの方がネット中継を視聴し、感想をTwitterに流しました。もちろん、筆者もその1人です。 このときの様子は、「セキュリティクラスタまとめのまとめ」を連載している山本洋介山さんが、Togetterでまとめています。 Togetterのまとめを読むと、漏えいしたパスワードがどのように保護されていたかが非常に注目されていることが分かります。Togetterのタイムラインで、14:48ごろにいったん「パスワードは平文保存されていた」と発表されると、「そんな馬鹿な」という、呆れたり、驚いたりのつぶやきが非常に多数流れます。 しかし、15:03ごろに「パスワードは暗号化されてなかっ
今日は、ちょっとしたシステム構築を発注するときに重要なポイントとなる、顧客情報管理の話題を。テーマは「お客さんのパスワードをどう保存するか」です。 御社には、たとえばECサイトの会員や顧客向けSNSなどの、お客さんがユーザー登録をしてパスワードでログインするようなシステムがありますか? あるとしたら、そのシステム内で、お客さんそれぞれのパスワードはどんな風に管理されているか把握していますか? または、システム構築の発注時に、どんな風にパスワードを管理するような仕様にしましたか? クレジットカード情報や個人情報の管理には注意していても、パスワードの保存方法は、あまり気にしていないのではないでしょうか。しかし、それではまずいのです。システム構築時に正しい仕様で発注しないと、何かセキュリティ問題が発生したときに、思いがけぬ大きな範囲に影響する問題になってしまいかねないのです。 結論からいうと、お
最近、パスワードにまつわる重大な脆弱性を見かけることが多いように思いますので、その中から4つを選んで紹介します。既に私のブログで紹介したものや、少し古い問題も含まれます。 PHP5.3.7のcrypt関数がハッシュ値を返さない脆弱性 crypt関数は、様々なハッシュアルゴリズムによるソルト化ハッシュを返す関数ですが、PHP5.3.7(2011年8月18日リリース)において、crypt関数にMD5を指定した場合、ハッシュ値を返さない(ソルトは返す)バグがありました。私のブログエントリにて説明したように、最悪ケースでは任意のパスワードで認証できてしまう状況があり得ました。 PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) | 徳丸浩の日記 PHP :: Bug #55439 :: crypt() returns only the salt for MD5 このバグが混入
Webメールのアカウントが乗っ取られて迷惑メール送信に利用されるケースが頻発している問題に対応して、MicrosoftはHotmailに友人のアカウント乗っ取り報告機能を導入するとともに、安易なパスワード利用を禁止するなどの対策を打ち出した。 同社のWindows Liveブログによると、友人のアカウント乗っ取り報告機能は、迷惑メールを受信した友人が本人よりも先に乗っ取りに気付くケースが多いことに着目して導入した。 友人のアカウントから迷惑メールが送られていることに気付いたユーザーは、メールに印を付ける「Mark as」メニューから「My friend’s been hacked!」(友人がハッキングされました)という項目を選んで乗っ取りを報告できる。さらに、受信したメールを迷惑メールに振り分ける際にも、「I think this person was hacked」(この人物はハッキング
更新: 2011年7月10日9時20分頃 徳丸本のあれこれを実践してみて気付いたことの続きです。 前回、ストレッチングの回数をどうするのかが難しいと書きました。負荷を心配しつつ1000回で実装してみたのですが、実際に動かしてみると処理が一瞬で終わってしまい、速すぎて心細く感じるほどでした。 アプリケーションの機能は一通り実装し終わり、テスト運用を始めたのですが、しばらく運用してみてもログインが遅いとか、それに伴って負荷が高くなるといったことは起きませんでした。 というわけで、もう少し遅くしてストレッチパワーをためた方が良いのではないかと考え、調整することにしました。 ハッシュアルゴリズムの変更まず、ハッシュアルゴリズムをSHA512に変更しました。徳丸本 (www.amazon.co.jp)ではSHA256が使われていますが、SHA512の方が遅く、生成されるハッシュ値も長くなります。遅い
CPUではなく、グラフィックボードに搭載されているGPUの力を使って、MD5やSHA-1などのハッシュ値を解読するというのを試してみました。 きっかけはPCの刷新。ゲームなどはしないので、DUAL DVI-Iが付いていれば何でもいいやと思って「VAPOR-X HD 5770 1G GDDR5 PCI-E DUAL DVI-I/HDMI/DP OC Version」というカードを13,980円で購入。 このATI HD5770が、GPUを使ってハッシュ値をブルートフォースで解読する「IGHASHGPU」に対応していたので、以前から試してみたかったので使ってみました。 IGHASHGPUのダウンロードはこの辺りから Ivan Golubev's blog - Cryptography, code optimizations, GPUs & CPUs and other http://www.g
公開: 2010年5月26日1時25分頃 WASForum Conference 2010、オープニングセッションに続いて、ヤフーの松岡泰三さんによる「国民のためのウェブサイトを運営するID認証の舞台裏」。松岡さんは「R&D統括本部プラットフォーム開発本部セントラル開発1部」に属し、OpenID、OAuth、認証API、認証(ログイン)、ソーシャルプラットフォーム、ストレージプラットフォーム、外部サービス連携……といった諸々のお仕事をされているそうで。 今回のお話は大きく前後半に分かれていて、前半はYahoo!の認証に関する仕組みや統計データについてのお話、後半は外部サービスとの連携の話になっていました。まずは前半部分のメモから。 Yahoo! Japan ID の現在アクティブユーザ数 …… 2396万IDYahoo!ウォレットのユーザ数 …… 1900万Yahoo!プレミアムの会員数
VMware Explore Community Tracks - Videos View Live Streams and On Demand Videos from this year's Community sessions.. View Community Sessions VMware Explore Community Tracks - Videos View Live Streams and On Demand Videos from this year's Community sessions.. View Community Sessions VMware Explore Community Tracks - Videos View Live Streams and On Demand Videos from this year's Community sessions.
【本勉強会は、チャリティイベントとなります。参加料の代わりに義援金の協力をお願いしております。あらかじめご了承の上、お申し込みください】 Webサイトに対する攻撃があった場合でも、パスワード情報については、情報漏洩の影響が大きいためなんとか保護したいというニーズがあります。 最近の攻撃事例でも「パスワードは漏洩したがハッシュで保存されていた」と公表された例がありますが、ハッシュによる保存で本当に安全なのか、暗号化とハッシュの違い、現在のパスワード保護のベストプラクティス等についてデモを交えて解説します。 約60分間の講演の後、Q&Aの時間を設けます。ぜひこの機会に足をお運びください。 1985年京セラ株式会社入社、1995年京セラコミュニケーションシステム株式会社(KCCS)転籍。 システム開発の経験を経て、2004年からWebセキュリティのサービスを開始。特にケータイWebサイトのセキュ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
