パスワード管理ツールの LastPass の保管庫の漏洩について、被害者ができることを解説
新年、明けましておめでとうございます! 年末年始の休みを有効活用して、パスワード管理を見直しましょう!(笑) 企業のデータ漏洩は基本的に悪いですが、2,500万人のパスワードも持つデータの場合は、最悪です。 この投稿をするまで、少し間を置きました。 ニュースが出る直後、みんなが騒いで矛盾な情報が流されたり、感情的に報じることが多かったりして、それを避けたかったです。 事実パスワード管理アプリ LastPass によると、 2022年8月に第三者によって同社のクラウドサービスが侵入されました当時、個人データは盗まれなかったそうですが、ソースコードは盗まれましたユーザのデータが漏洩していなかったにも関わらず、 LastPass 社は事件を一般公開しました。 顧客と企業の間でのそのような透明性は望ましいことで、功績を認めるべきです(多くの会社はそんなことしません) しかし、当時漏洩したものの中で
日本人が使う最悪パスワードのランキング、上位に食い込む「jza90supra」の正体
日本人が使いがちなパスワードは何だか分かるだろうか。ソリトンシステムズは2020年に発覚した232件の情報流出事件を分析し、日本人と思われる利用者が設定していたパスワードの種類と数を集計した。 その結果、最も多かったのは「123456」。これは世界中で「最悪のパスワード」として知られており、日本人ならではの結果ではなかった。 だが、もう少し下位に目を向けると「ならでは」の文字列が登場する。例えば11位は「jza90supra」。これは他社が公開する世界ランキングでは200位にも入っていなかった。一体、この文字列は何なのだろうか。 JPドメインのパスワードを抽出 みんながどのようなパスワードを使っているのかは気になるところだが、直接聞いて回るわけにはいかない。そこで以前から、セキュリティー企業などはインターネットに流出したパスワードを分析することで、パスワードとしてよく使われる文字列を調べて
パスワード解析などに使われる「レインボーテーブル」の仕組みとは?
パスワードやアクセスキーなどの重要なデータは「ハッシュ関数」で一方向の変換を行うことで、漏えいの被害を最小限に抑えることができます。しかし、パスワードとハッシュ値の組み合わせを記録したレインボーテーブルによって、ハッシュ値からパスワードを解析される攻撃を受ける危険性もあります。そんなレインボーテーブルの仕組みについて、ソフトウェアエンジニアのKestas "Chris" Kuliukas氏が図解しています。 How Rainbow Tables work http://kestas.kuliukas.com/RainbowTables/ ハッシュ関数は文字列を別の文字列に変換することができる関数で、変換前の文字列から変換後の文字列を計算することはできますが、変換後の文字列から変換前の文字列を計算することはできません。変換前の文字列は「平文(Plaintexts)」、変換後の文字列は「ハッシ
ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
パスワードに記号は不要、JPCERT方針転換の理由
パスワードを12文字以上にすれば、必ずしも記号を使う必要はない――。インターネットの危険情報を取りまとめるセキュリティ組織であるJPCERTコーディネーションセンター(JPCERT/CC)は、推奨するパスワードの作り方の方針転換をした。これまでは「大小英字、数字、記号といった全文字種を組み合わせて、8文字以上のパスワードにする」を推奨していた。 JPCERT/CCは2018年8月1日から31日まで「STOP!パスワード使い回し!キャンペーン」を実施している。パスワードの使い回しを控えるように呼び掛ける活動で、2014年から毎年実施している。2018年はヤフーや楽天、セブン銀行など26の賛同企業/団体とともにユーザーに呼びかけている。キャンペーンでは、破られにくいパスワードの作り方と管理方法をユーザー向けに紹介している。この内容が2017年までと比べて大きく変化した。 2017年までは「大小
「これはひでえ」日テレの『安全で覚えやすいパスワードを作るワザ』に専門家からの指摘
Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29 Hiromitsu Takagi @HiromitsuTakagi 私の推奨は「5万語の語彙の辞書(広辞苑など)をランダムに開いて3つの語を選んで繋げる」(オフライン攻撃想定の「暗号の鍵」の場合は5つの語を選んでつなぐ)という提案。(NISCは採用していない。) 2018-03-28 00:04:29
パスワード「頻繁に変更はNG」 総務省が方針転換 - 日本経済新聞
定期的に変えるのはかえって危険――。総務省がインターネット利用時のパスワードについて、従来の"常識"を覆すような注意喚起を始めた。「推測しやすい文字列になって不正アクセスのリスクが増す」というのが理由で、複雑なパスワードを使い続けるよう呼びかけている。方針転換に困惑する声も少なくない。「定期的にパスワードを変更しましょう」。3月1日、総務省の「国民のための情報セキュリティサイト」からこんな記述
2018年のパスワードハッシュ - Qiita
数年前であれば仕方なかったところですが、2018年の今となっては、パスワードハッシュの手動計算はもはや"悪"です。 まずログイン認証と称してmd5とかsha1とか書いてあるソースはゴミなので投げ捨てましょう。 hashやcryptは上記に比べればずっとマシですが、使い方によっては簡単に脆弱になりえます。 あと『パスワードを暗号化する』って表現してるところも見なくていいです。 PHPには、ハッシュに関わる諸々の落とし穴を一発で解消してくれるpassword_hashという超絶便利関数があるので、これを使います。 というか、これ以外を使ってはいけません。 以下はフレームワークを使わずに実装する際の例示です。 フレームワークを使っている場合は当然その流儀に従っておきましょう。 ハッシュの実装 データベース ユーザ情報を保存するテーブルを作成します。 パスワードカラムの文字数は、システム上のパスワ
あのパスワード規則、実は失敗作だった - WSJ
パスワードに記号や大文字や数字を盛り込み、定期的に変更するというルールは間違いだったと当事者が告白。
「パスワードは定期的に変更してはいけない」--米政府 (ニューズウィーク日本版) - Yahoo!ニュース
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはすだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの企画標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた
OCN、パスワード定期的変更しない利用者、ログイン制限へ
awamori @awamori_tt OCNから利用者宛てに「メールサービスのパスワードを定期変更しないと一定期間、接続制限するぞ」というメールが来た 2014-11-12 13:40:56 しの @SH1N0 OCNメールアドレス(OCN ID)のパスワード変更のお願いについて ocn.ne.jp/info/announce/… とうとうパスワードを定期変更しないとサービスを使わせないって所が出てきた。 2014-11-12 16:17:29
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
