stuartschechter.org 米国立標準技術研究所(NIST)の認証に関するガイドライン「NIST SP 800-63」が改訂され、「パスワードは「複雑」より「長い」が重要、定期的な変更を義務付けてはならない」というのがようやく周知された。 しかし、「複雑なパスワード」と「定期的なパスワードの変更」が長年推奨されてきたのか。この文章は、その原因を偉大な科学者たちが過ちを犯したことに理由を求めている。 その科学者とはロバート・モリスとケン・トンプソンの二人である。ケン・トンプソンについては説明は不要だろうが Unix の開発者ですね。ロバート・モリスは暗号学者で、Y Combinator の共同創業者であり「モリスワーム」の作者として知られるロバート・タッパン・モリスの父親である。 この二人が1979年に実際のユーザパスワードを調査して発表した Password Security:
デバイスやウェブサービスのアカウントにパスワードを設定する際は、不正アクセスなどを防ぐために「文字数を長くする」「単純な数字や単語を使わない」といった対策を取るのが一般的です。しかしパスワードを設定する際に「大文字を1字以上追加してください」などのエラーメッセージが表示された経験がある人も多いはず。エンジニアのduffn氏が複雑なパスワードのルールを設定しているさまざまなウェブサイトについて「Dumb Password Rules」でまとめています。 Dumb Password Rules https://dumbpasswordrules.com/ duffn氏はDumb Password Rulesを作成した理由について「複雑なパスワードのルールに遭遇すると私は非常にイライラします。私はこれらのパスワードのルールがどれほどバカげているかを皆さんに知らせたいと思いました」と述べています。
MicrosoftのクラウドサービスOneDriveやSharePointなどで、ユーザーがアップロードしたパスワードで保護されたZIPファイルのスキャンが行われていると報じられています(gHacks)。 従来、マルウェアを配布するためには、ZIPやRARなどのアーカイブファイルが使用されてきましたが、現在ほんとどのセキュリティソフトウェアはアーカイブファイルのスキャンに対応し、攻撃に使用されるアーカイブファイルはパスワードで保護されるようになっています。 セキュリティ研究者のAndrew Brandt氏は月曜日、MicrosoftがSharePoint上でパスワードで保護されたZIPアーカイブのスキャンを開始したことを明らかにしました。Brandt氏は、Microsoftが、パスワードで保護されたZIPアーカイブに含まれる、マルウェアサンプルのいくつかをマルウェアと判定し始めたことに気が
2023年1月18日、警視庁葛西署は、不正アクセス禁止法違反の容疑で男を逮捕したと発表しました。男は複数の女性のインスタグラムアカウントへ不正ログインした疑いがもたれています。ここでは関連する情報をまとめます。 60人以上のインスタアカウントに不正ログインか 逮捕は2023年1月16日で不正アクセス禁止法違反、私電磁記録不正作出・同供用の容疑。2020年8月から2022年10月にかけて、自分のスマートフォンなどを使い面識のない東京、埼玉、神奈川などに住む女性9人のインスタグラムアカウントに対して59回にわたり 不正にログインを行い、個人情報をのぞき見たり、本人になりすましメッセージ送信を行うなどをした疑いがある。*1 男は不正ログイン後にアカウントのパスワードや登録された電話番号の変更を行っていたとみられ、2020年8月に被害に遭った女性の一人がアカウントにログインできないと警察へ相談した
新山祐介 (Yusuke Shinyama) @mootastic 「自分のパスワードには常にカンマを含めておけ、そうすれば漏洩してCSVになったときにうまく動かなくなるから」 twitter.com/vxunderground/… vx-underground @vxunderground Insert commas into your password so when your credentials are dumped into a CSV it breaks it 新山祐介 (Yusuke Shinyama) @mootastic 個人的に面白いと思った海外記事のブックマーク。ネタ元はHNやRedditなど。日本語の要約は間違っていることもあるので引用は慎重に。意見はすべて個人的なものです。(2023年8月、別サイトに引っ越しました)
Yahoo! JAPAN は日本にて検索やニュースといったメディアサービス、e コマース、メールサービスなど、100を超えるサービスを提供している企業です。これらのサービスで利用するためのユーザーアカウントも長年提供し続け、月間のログインユーザーは 5,000 万を超える規模となっています。しかし、このユーザーアカウントを提供する中で、ユーザーアカウントに対しての攻撃を継続的に受けており、また、アカウントを継続利用する上での課題についてユーザーから問い合わせも多く頂いていました。これらの課題の多くはパスワードという認証手段に依存するものでした。また、当時、技術的にもパスワード以外の認証手段を提供するための機能やデバイスの普及が始まりつつありました。こういった背景のもと、Yahoo! JAPAN はパスワードによる認証からパスワードレスな認証へ移行すると判断しました。 なぜパスワードレスか
5月 5, 2022 Apple、Google、MicrosoftがFIDO標準のサポート拡大にコミット、パスワードレス認証の普及を促進 より速く容易で安全な認証をコンシューマー向けに主要なデバイスやプラットフォームに提供 (国際版の日本語訳) 2022年5月5日、カリフォルニア州マウンテンビュー – すべての人にとってウェブをより安全で使いやすいものにするための共同の取り組みとして、Apple、Google、Microsoftは本日、FIDOアライアンスとWorld Wide Web Consortium(以下、W3C)が策定した共通のパスワードレス認証のサポートを拡大する計画を発表しました。この新機能により、ウェブサイトやアプリケーションは、コンシューマーに対してデバイスやプラットフォームを問わず一貫して、安全かつ容易なパスワードレス認証を提供できるようになります。 パスワードのみによ
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
ご存知の通り、平井卓也デジタル改革担当相は11月17日の定例会見で、中央省庁の職員が文書などのデータをメールで送信する際に使うパスワード付きzipファイルを廃止する方針であると明らかにした。 霞が関でパスワード付きzipファイルを廃止へ 平井デジタル相 ちょうどこの会見の2週間ほど前に、某先進なニッポンのIT企業(従業員2万人規模)からパスワード付きZIPファイルが送られてきて、(めんどくせーなと思いながら)何故パスワード付きZIPファイル+続けてパスワード送付をするのか、問い合わせてみたところ、同じ11月17日に回答をいただいた。 以下全文を掲載する。 PPAPに関するシステム見解 メールにファイルを添付する場合、パスワード付ZIPファイルに変換した上で送信し、その開封パスワードは別送する、といういわゆる「PPAP手法」については、システム部門として下記の通り意義があると考えております。
NTTドコモが提供する電子決済サービス「ドコモ口座」を利用して、銀行から不正に現金を引き出す被害が相次いでいる。七十七銀行(宮城県仙台市)は9月7日、同行の顧客に被害があったとしてドコモ口座への新規登録を当面停止すると発表。中国銀行(岡山県岡山市)、大垣共立銀行(岐阜県大垣市)、東邦銀行(福島県福島市)も8日、同様の理由で新規登録の停止を発表した。 地銀ばかりで被害 なぜ? 今回被害が発生しているのはいずれも地方銀行。NTTドコモはITmedia NEWSの取材に対し「被害のあった銀行はいずれも『Web口振受付サービス』を使ってドコモ口座と連携していた」と話す。 Web口振受付サービスは、地銀ネットワークサービス(東京都中央区)が提供する、収納企業(決済サービス提供社)と地方銀行の連携サービス。ユーザーは収納企業のWebサイトを通じて預金口座振替の新規登録などの手続きを行える。 ユーザーが
■ RSA暗号で共有パスワードを管理 リモートワークで一番困るのが、オフィスというリアルな「場」を生かしたセキュリティ策が使えないことだ。いま職場で共有アカウントの棚卸しをしていて、これらのパスワード管理をどうしよう……って話になった。AWS rootアカウントなんてなかなかヘビーな「秘密」やぞ。みんなどうやって管理してるの、これ? オフィスがあれば、印刷して金庫に封印、みたいな策も取れるんだけど*1。 で、ない知恵絞って「SSH用のRSA鍵で暗号化すればいいんじゃね?」と思いついたので、とりあえずそれにした。幸いなことに、うちのオフィスでは全員GitlabへSSHアクセスができるので、公開鍵はそこから取れる*2。正管理者が副管理者の公開鍵でパスワードを暗号化して、共有しておけばいいのだ。鍵タイプがed25519という人もいたが(とても正しい)、これのためにRSAも併用してもらうようにした
■ パスワードマネージャをKeePassXCからBitwardenに乗り換え フルリモートになったタイミングで職場のパスワードポリシーをパスワードマネージャを使わざるを得ないように変更したのもあって、なんとなく以前から気になっていたBitwardenに乗り換えてみた。パスワードマネージャはOSSでなければならないという自分のポリシーに合わせて、これももちろんOSSである。 乗り換えの背景には実は切実な問題があって、KeePassのデータベース共有に使っていたDropboxが同期先を3つしか選べなくなったので、新しいマシンを追加できなかったから。なんてショボい理由だ! いやまぁ、OneDriveとかにすればいいだけなんだけど。 データの移行にちょっと手間取ったけど*1、そこまで済めば使い始めるのにはそんなに時間はかからなかった。Android版、Chrome版も問題なし。UIはモダンで扱いや
「新型コロナは体調管理ができてない証拠」などの文章が物議を醸していた、ストレッチ専門店「Dr.ストレッチ」の求人広告(※)について、フランチャイズ運営元であるフュービックは3月11日、サイトの改ざんを行った人物について「フランチャイズ加盟企業(つながり)の元従業員」だったとの調査結果を公表しました(PDF)。つながり社は今後、元従業員に対し民事および刑事で責任追及を行っていくとしています。 ※広告を直接掲載していたのはフランチャイズに加盟していた「つながり」社で、フュービックは「Dr.ストレッチ」のフランチャイズ運営元 フランチャイズ加盟店が管理する求人サイトの一部内容において不適切な表現が掲載されてしまった件について(PDF) 問題となっていた求人広告は、Dr.ストレッチのフランチャイズ加盟店「つながり」が、転職サイト「engage」に掲載していたもの。一見普通の求人ページに見えましたが
KeeWebはWinのOSSパスマネ、KeePassと互換性のあるクロスプラットフォームなパスワードマネージャです Webとありますが、macOS、Windows、Linux等のデスクトップアプリとWebアプリの両方が用意されています 使ってみましたが、割とよさそうでしたので少し機能をご紹介します 使ってみた 試しに使ってみました。基本的な機能は任意のWebサイトのパスワード管理やクレジットカード情報の管理、それぞれの暗号化、検索、タグ付け、アイコン設定、カラーラベルによるカテゴライズ、カラーテーマ変更、ランダムなパスワード生成ツールなどとなります 他にもDropboxやOneDrive、GoogleDrive等と同期したり履歴からデータをロールバックしたり各項目に添付画像を紐付けたり、他にもいろいろある様です 登録項目はいろいろあるんですが、基本的にはユーザー名、パスワード、ドメインだけ
BacklogにmacOSの指紋認証でログインする様子 ヌーラボでは2019年3月にW3Cで標準化されたパスワードレス認証の「Web Authentication API」(WebAuthn: ウェブオースン)と、「FIDO2」(Fast IDentity Online: ファイド)対応のサーバを実装することで、Backlog / Cacoo / Typetalk上でのパスワードを使わない新しい認証に対応しました。 WebAuthn / FIDO2を使用した生体認証ログインのメリットは次のとおりです。 生体認証でログインが素早く簡単になります 生体情報はネットワーク上には流れず、ローカルのセキュリティ デバイスに保存されるため安全です 2要素認証※2のため安全です サーバに登録する認証情報は公開鍵のため、パスワードリスト型攻撃や情報漏洩のリスクがありません ドメインが検証されるため、フィッ
■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンスを示しておいた*1が、すでにわかりかけている人達にしか刺さらなそうだ。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) July 8, 2019 同様のことは4年前にNISCのコラムに書いたが、消えてしまっているので、ひとまず、その原稿を以下に再掲しておく。 スマホ時代の「パスワード」のあり方を再考しよう 高木浩光 2015年2
Citirixは、自社内のネットワークが不正アクセスを受け、社内資料がダウンロードされた可能性があると発表しました。ここでは関連する情報をまとめます。 公式発表 www.citrix.com www.citrix.com カリフォルニア州検事総長宛レター www.documentcloud.org カリフォルニアでは州法で州住民500人以上に影響が及んだ場合に当局への報告義務がある。 インシデントタイムライン 日時 出来事 2018年10月13日 Citrixが確認した不正アクセスの開始日 2018年10月15日 ResecurityはCitrixへの不正アクセス発生(一部)と推定。※ 2018年12月28日 ResecurityがCitrixに対してセキュリティ侵害に関して情報提供。※ 2019年3月6日 FBIがCitrixに対しセキュリティ侵害の情報提供。 2019年3月8日 Cit
宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用できるpassword_hash関数が非常に便利ですし、他の言語やアプリケーションフレームワークでも、それぞれ用意されているパスワード保護の機能を使うことはパスワード保護の第一選択肢となります。 なかでもbcryptは、PHPのpassword_hash関数のデフォルトアルゴリズムである他、他の言語でも安全なハッシュ保存機能として広く利用されていますが、パスワードが最大72文字で切り詰められるという実装上の特性があり、その点が気になる人もいるようです(この制限はDoS脆弱性回避が
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
