何を言っているんだと思われるかもしれないですが、気軽にパスワードの1文字目に「~」を使わないほうがいいというお話です。 起こった問題 踏み台サーバー経由でサーバーAに接続して作業をしていた時の話です。 いわゆる多段 ssh 接続というもので、リモートワークになってからは結構使われる方も多いかと思います。 サーバーA上で root 権限になろうと sudo su - してパスワードを入力したら Connection to xxx.xxx.yyy.zzz closed. の文字とともにサーバーAから追い出されてしまいました。 なにかの間違いだろうと何度か挑戦していたのですが、結果はサーバーAから切断され踏み台サーバーに戻る羽目に。。。 そのときに入力していたパスワードが ~.xxxxxxxxxx のような ~ から始まるものでした。 調査 ~ って何か意味があったよなーと思ってどう調べようかと
回答: 巷の言説では、12文字以上にしろとか、いや12文字でも足りないとか、さまざまなことが言われていますよね。ちょっと計算をしてみましようか。 あえて短い文字列として、ウェブサイトに6文字のパスワードを設定したとします。短いですね。短い代わりに、英字(大文字と小文字を区別)と数字を混ぜたランダムなパスワードをつけます。例えば j6E2Dt のように。 ランダムなので、これを破ろうとすると、ブルートフォースアタックしかありません。総当たりですね。英数字6文字のパスワードは全部で何通りあるかというと、以下の式で求められます。 (26 + 26 + 10)^6 = 62^6 = 568...
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
アプリの会員登録したら、登録したパスワードが平文で送られてきました アプリ名は本文内から分かるので、このメールをゲットできたらアプリをインストールしてログインすることが出来てしまいます。生年月日や住所、メールアドレスなどが見ることができます。。 駄目なんだよ。 って警報を鳴らしたい。 アプリの種類はお薬手帳で、薬局から薬と一緒に貰うQRコードを読み取って履歴を管理できるものです。ちょっと見たところ薬関連のアプリは沢山あったので流行ってるんですかね。 勝手な推測ですが、恐らくアプリの所有者はアプリやセキュリティの知識はなく、開発会社が仕様を決めたのかなと思いますが、酷すぎますね。実装したプログラマーも指摘するべきでしょう。 ↑ 知らない人に届いてしまうことを想定してるのになぜ気づかない! きっとデータベースにも平文のまま保存されているはずです。 きっとこんな感じ
by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a tech background or be familiar with the concept of credential stuffing so I'm going to write this post for the masses and link out to more detailed material for those who want to go deeper. Let's start with the raw numbers because that's th
コピペ不可なパスワード入力欄に強制コピペできるブックマークレットを作りました 2018-08-08 パスワードマネージャーからパスワードをコピペしようとしても、未だにコピペ不可なパスワード入力欄に出会うことが少なくないため、JavaScriptのプロンプト表示経由でパスワードを入力するシンプルなbookmarkletを作りました。 javascript:(function(){document.querySelector('input[type="password"]').value = prompt("パスワードを入力してください。")})(); パスワード入力欄があるページでブックマークレットとして使用すると以下のダイアログが表示されるので、ここからパスワードをペーストして入力できます。 全てのサービスで異なるパスワードを使うべきなのに、未だに手動入力させようとする(=人間が覚えやすく
Password reuse and credential stuffing Password reuse is normal. It's extremely risky, but it's so common because it's easy and people aren't aware of the potential impact. Attacks such as credential stuffing take advantage of reused credentials by automating login attempts against systems using known emails and password pairs. NIST's guidance: check passwords against those obtained from previous
さらば、パスワード Slackも採用したパスワードレス認証とは:半径300メートルのIT(1/2 ページ) セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”という
「小文字に大文字、数字や特殊文字」などを使うパスワード規則は役立たずだった!?2017.08.15 18:4212,165 たもり パスワードを考えるときのあの苦労は一体…。 「小文字に大文字、数字や特殊文字などを含める」というのは、言わずとしれたパスワードを作るときの絶対的なルールですよね。長い間、この規則はあらゆる場面でパスワード設定の基本となっていました。しかし、15年前にこのスタンダードを考案した男性が今になってこのルールは失敗だったと認めています。そして、とても申し訳なく思っているとか。 問題の人物の名前は、ビル・バーさん。アメリカ国立標準技術研究所(NIST)の元マネージャーです。2003年にバー氏は、「NISTスペシャルパブリケーション800-63 別表A」と呼ばれる、安全なパスワードを作る方法についての8ページに及ぶガイドラインを起草しました。これが、メールアカウントからオ
The Independentに7月1日(米国時間)に掲載された記事「Hackers can use brainwave signals to steal passwords|The Independent」が、計測した脳波からパスワードやPINコードを推測することが可能だという米国の大学の研究者の取り組み伝えた。こうした技術はハッカーによってパスワードやPINコードを窃取する技術として悪用されるおそれがあると指摘している。 研究者は、脳波を測定するセンサーを備えたヘッドセット「EEGヘッドセット」を用いて、実験を実施。EEGヘッドセットは医療目的での利用や研究開発以外にもヘルスケアやゲームなどさまざまなシーンで活用の模索が続けられている。中でも、ゲームはEEGヘッドセットの活用が期待できる分野の1つで、The Independentの記事もゲームを例に挙げてEEGヘッドセット経由でパスワ
2. アジェンダ • セキュリティの都市伝説とは • セキュリティの都市伝説さまざま – パスワードのマスク表示 – IDまたはパスワードが違います – パスワードの有効期間 – autocompleteの停止 – 戻るボタンの問題 • まとめ 2 3. 徳丸浩の自己紹介 • 経歴 – 1985年 京セラ株式会社入社 – 1995年 京セラコミュニケーションシステム株式会社(KCCS)に出向・転籍 – 2008年 KCCS退職、HASHコンサルティング株式会社(現社名:EGセキュアソリューションズ株式会 社)設立 • 経験したこと – 京セラ入社当時はCAD、計算幾何学、数値シミュレーションなどを担当 – その後、企業向けパッケージソフトの企画・開発・事業化を担当 – 1999年から、携帯電話向けインフラ、プラットフォームの企画・開発を担当 Webアプリケーションのセキュリティ問題に直面、
悪意あるソフトウェアが脳波を読み取り、パスワードや個人データを盗み出すようになるかもしれない。 by Tom Simonite2017.05.15 155 62 12 0 「エポックプラス(Epoc+)」は不満や興奮といった感情を検知して脳内の思考だけでロボットを操作できると謳う、800ドルの脳波検出用ヘッドセットだ。 アラバマ大学バーミンガム校のニテシュ・サクセナ准教授は、脳波をモニタリングするソフトウェアによって、暗証番号やパスワードを推測できることを明らかにした。脳インターフェイス・セキュリティの分野はまだ小さいながらも、研究者の間からは限定的な機能しかない現在のヘッドセットですらセキュリティの改善が必要だ、との報告が相次いでいる。 サクセナ准教授は、脳インターフェイスを通じて個人データが盗まれる可能性について、「現在のデバイスにもリスクがありますが、今後、デバイスが発達するにつれて
自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。 このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。 大前提 ・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。 ・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1 ・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。 ・変更タイミングの基本は とします。その上で例外的
By Automobile Italia ロシア最大のソーシャルネットワーキングサービスである「VK」がハッキングされ、1億件分のアカウントのパスワードが「暗号化されていないクリアテキストの状態で流出」していることが発覚しました。 LeakedSource Analysis of VK.com Hack https://www.leakedsource.com/blog/vk VK: 100mn passes stolen from Russia's biggest social network https://thestack.com/security/2016/06/06/vk-100-million-clear-text-passwords-stolen/ ロシアで人気の高いSNSであるVKには2億8000万を超えるユーザーが存在するそうですが、その3分の1以上となる1億54万493
Tumblrから盗まれたユーザー情報、その数6500万件だったことが判明2016.05.31 13:23 そうこ やっちまった。 今月12日、Tumblrが2013年のデータに関して第三者からの不正アクセスがあったことを明かしたことで、一部ユーザーのメールアドレスとパスワードが流出したことがわかりました。盗まれたのは何件で、何人のユーザーが影響を受けるのかについては明言されていませんでした。が、どうやら、その数6500万件だそうで。 ハッキングによって流出した情報のコピーを入手し調査したのは、セキュリティリサーチャーのTroy Huntさん。ネタ元のMotherboardにて、流出したメールアドレスとパスワードはあわせて、6546万9298件だったことを明かしました。一方で、パスワードはハッシュ化/ソルト化して保護されていたといいます。この点は、データを抜いたと自称するハッカー「Peace
先週開催したデザイン思考関連のイベントでご講演いただいた中に、日本の消費者のプライバシーとセキュリティ感覚に関する興味深い調査結果があり、出典元の EMC Privacy Index 2014 を見てみました。 この「EMC Privacy Index」は、世界15の国と地域、15,000人の消費者を対象に、オンライン プライバシーに対する消費者の意識と動向を調査したものです。 他にも様々な調査項目(質問項目)があるのですが、日本人の意識に焦点をあててピックアップしてみるとその極端さぶりが浮き彫りとなりました。 調査対象の15か国中、もっともプライバシーに関して保守的であり、情報漏えいをもっとも恐れている国民であり、また政府の対応に関しても15か国中でもっとも不満足に思っているのです。 しかしながら、個人個人のプライバシー対策に関しては、15か国中もっとも対策を行っていないという調査結果と
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
