noon🐥 @noonworks 凄まじいパスワード管理法として「登録時にランダム文字列をパスワードにし、どこにも記録しない。ログインするたびに毎回パスワード再発行する」という豪気なのを聞いたことがあります 2023-08-16 00:42:18
noon🐥 @noonworks 凄まじいパスワード管理法として「登録時にランダム文字列をパスワードにし、どこにも記録しない。ログインするたびに毎回パスワード再発行する」という豪気なのを聞いたことがあります 2023-08-16 00:42:18
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き
平井卓也デジタル改革担当相は11月24日の会見で、メールでパスワード付きファイルを送り、パスワードを別送する方法(いわゆるPPAP)について、26日から内閣府、内閣官房で廃止すると発表した。今後、外部へのファイル送信には外部ストレージサービスを活用し、他省庁の状況についても実態調査を進める。 内閣府の担当者によると、26日までに全職員に外部へのファイル送信時の運用変更について通知する方針だという。今後は主に内閣府が利用する民間のストレージサービスでファイルを共有し、パスワードをメールで送信する。担当者は一例として「Dropbox」などの名前を挙げたが、具体的なサービス名については「セキュリティ対策のため、公表していない」としている。 また、プロジェクトごとにあらかじめパスワードを決めておくことや、例外的な運用として内閣府の外部サービスにアクセスできない事業者向けに電話や別メールでパスワード
セブン&アイ・ホールディングスが、スマートフォン決済サービス「7pay」(セブンペイ)などグループのインターネットサービスに使う共通ID「7iD」のパスワードを一斉にリセットしたことに伴い、31日までに一部の利用者の間で混乱が広がった。 同社がパスワードの再設定を求めたのに対し、利用者が誤ってIDも変更するケースが続出し、「…
セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しないと使えないようにする。【関連記事】セブン&アイ、セブンペイ不正利用で失ったもの7iDは不正利用された決済サービス「セブンペイ」や「セブン―イレブンアプリ」など傘下企業のスマホアプリだけでなく
7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを決断した経験があるが、これは奇妙なことだ。 一般にパスワードリスト攻撃を受けている場合では、全利用者のパスワードリセットを行う必要はない。リスト型攻撃が成功した利用者に限ってリセットを行うのが一般的な運用だ。 パスワードをリセットすると多くの利用者が離脱する上に、サポート窓口の負荷が上がるため、数十万人のパスワードをリセットする場合も、時間をかけて反応を見ながら徐々に行う運用が一般的だ。 全利用者のパスワードをリセットする必要があるのは、例えばバグや脆弱性の性質から被害者を特定でき
ヤマト運輸は7月24日、同社の会員制サービス「クロネコメンバーズ」が不正ログイン被害を受け、3467件の個人情報が第三者に閲覧された可能性があると発表した。 同社は23日、特定のIPアドレスがクロネコメンバーズに対して不正ログインを行っていることを確認。応急措置として、該当するIPアドレスからのログインを遮断した。 その後の調査で、不正ログインで使われたIDとパスワードはクロネコメンバーズで使われていないものが多く含まれていることが分かり、他社サービスから流出した可能性があるIDとパスワードで不正ログインを試す「リスト型攻撃」によるものとみられるという。第三者が不正ログインを試みた回数は約3万件に上った。 不正ログインが確認されたクロネコメンバーズのアカウントはパスワードを変更しなければ使えないように対策し、対象ユーザーには個別に対応するという。
スマホ決済サービスの「7pay」の不正利用について、ほかには一切使っていない専用のパスワードを設定していたにもかかわらず、被害にあった人がいたことが分かりました。専門家は、過去に流出したパスワードで手当たりしだいにログインを試みる「リスト型攻撃」とは異なり、「7pay」の情報が何らかの形で抜き出されていた可能性があると指摘しています。 こうした中、クレジットカードから30万円分をチャージをされ、不正に利用された東京都内の会社員の男性がNHKの取材に応じました。 「7pay」のアプリでは、事前に登録したクレジットカードからチャージする際には、通常のパスワードのほかに別のパスワードが必要となります。 男性はそれぞれ16桁のパスワードを設定していましたが、いずれもほかのサービスには一切使っていない専用のものだったということです。また、スマホやパソコンには記録せず、手帳に書いて保管していたというこ
Facebookが3月に発表したサービスのパスワード平文保存の件数を“上方修正”した。当初「数万件」としていたInstagramのパスワードは「数百万件」だった。影響を受けた追加の数百万人にも通知するとしている。 米Facebookは4月18日(現地時間)、3月に公開したFacebook、Instagram、Facebook Liteの数億人分のパスワードを可読な状態(平文)で社内に保存していたという発表文を更新し、当初は「数万人分」としていたInstagramのパスワードの数を「数百万人分」に修正した。 3月の発表文は、米セキュリティ情報サイトKrebs on SecurityがFacebookの匿名の幹部からの情報として2億~6億人のパスワードが既読状態で保存されていたことを報じた後に公開された。 Krebs on Securityによると、パスワードのプレーンテキストでの保存は201
【お客さま各位】 Bizコンパスは2021年9月30日(木)をもちましてサービスを終了致しました。 2021年10月20日(水)より、Smart Worldの未来を探求するメディア「OPEN HUB Journal」としてリニューアルオープンしました。 本ページは、5秒後に「OPEN HUB Journal」サイトへ自動的に遷移します。 自動的に遷移しない場合は、こちらをクリックしてください
本物のパスワードを突きつけ「アダルトサイトの閲覧履歴を暴露する」として金銭を要求する脅迫メールが相次いで確認され、民間のセキュリティー機関では闇サイトなどに流出した情報を何者かが悪用していると見て注意を呼びかけています。 メールの題名と本文に、受信した人が実際に使っているパスワードを記したうえで、英語で「アダルトサイトの閲覧履歴を暴露する」などと脅し、十数万円相当の仮想通貨を支払うよう要求しています。 被害はまだ確認されていませんが、中にはすでに使われていない古いパスワードが書かれていたケースもあったことから、何者かが企業などから流出した顧客のメールアドレスやパスワードを闇サイトで入手するなどして脅迫メールを送りつけていると見られています。 JPCERTコーディネーションセンターの佐々木勇人さんは「メールが送りつけられても、決して取り合わず、速やかにパスワードを変更してほしい。どこから情報
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた
ジョン・ケリー米国土安全保障長官。ホワイトハウスで(2017年1月31日撮影、資料写真)。(c)AFP/Brendan Smialowski 【2月8日 AFP】米国のジョン・ケリー(John Kelly)国土安全保障長官は7日、米大使館での査証(ビザ)申請者に対して、身元調査のためソーシャルメディアのアカウントのパスワードの提出を求めることを検討していると明らかにした。安全保障上の脅威となり得る人物の入国阻止に向けた審査強化の一環だという。 下院国土安全保障委員会(House Homeland Security Committee)の公聴会で述べた。審査能力が乏しいイラン、イラク、リビア、ソマリア、スーダン、シリア、イエメンのイスラム圏7か国の出身者を主な対象として検討している措置の一つだと説明した。 ケリー長官は、この措置は決定したものではないと強調する半面、ビザ発給の遅延につながって
横浜市は2016年12月21日、同市が住基ネット(住民基本台帳ネットワークシステム)に接続するために運用している「コミュニケーションサーバー(CS)」で発生したシステム障害について、パスワードの変更ミスが原因だったと発表した。障害は12月7日の夜間メンテナンス時に発生。翌8日に市の窓口でCSを通じて処理するマイナンバーカード交付などの手続きができなくなる影響が出ていた(関連記事:マイナンバー関連システムで障害、横浜市で1208人にカード交付できず)。 住基ネットのCSは全国の市町村ごとに存在する。住基ネット全体を運営する地方公共団体情報システム機構(J-LIS)によれば、今回のシステム障害は横浜市単独のトラブルで、他の市町村に影響はないという。 横浜市住民情報システム課の説明によれば、同市はCSを「運用系CS」と「待機系CS」の2台で冗長化して運用している。J-LISの運用手引書に従い、C
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く