高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
MS Edge / IE / Chrome / Firefox 等に保存されている ID &パスワードを、一覧表示してくれるソフト。 各種ブラウザ上で保存してきたログイン情報を、ブラウザ、及びサイトごとにリスト表示してくれます。 表示されたログイン情報をコピーする機能や、選択したログイン情報を TXT / CSV / HTML / XML ファイルに書き出す機能 などが付いています。 ポータブル版の Google Chrome / Firefox / Waterfox / Opera にも対応しています。 「WebBrowserPassView」は、主要なブラウザに対応したパスワードリカバリツールです。 (ソフトの性質上、セキュリティソフトにウイルスと判定される場合があります) Microsoft Edge(Chromium 版) Internet Explorer Google Chro
ShouldIChangeMyPassword : パスワードを変更すべきか判定してくれるサイト Should I Change My Password? パスワードを変更した方がいいかどうか判定してくれるサイト。 昨今、ハッカーによってパスワードが盗まれ公に晒される事件が相次いでいますが、こちらのサイトでは一般に流出したIDとパスワードからデータベースを作って、それと照らし合わせて該当するIDがそのデータベースに含まれていないかを調べてくれます。 データベースはこちらのような流出リストを基に作成されています。 IDとなるメールアドレスを入力して、問題ないようであれば次のように表示されますが、 データベースに該当し、パスワードの変更を促す場合には次のように表示されます。 基本的に流出リストに載っているようなサイトを利用していなければ問題はないと思いますが、心当たりのある方はチェックしてみて
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。 Troy Hunt: A brief Sony password analysis 以下の観点について分析がなされています。 長さ 文字空間(文字の種類) 乱数 一意性 この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。 ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。 その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。 ソニーとGawkerで比較した場合でも67%が使い回しだと判
補足 この記事は旧徳丸浩の日記からの転載です(元URL、アーカイブ、はてなブックマーク1、はてなブックマーク2)。 備忘のため転載いたしますが、この記事は2011年1月27日に公開されたもので、当時の徳丸の考えを示すものを、基本的に内容を変更せずにそのまま転載するものです。 補足終わり 橋口誠さんから今話題の書籍パーフェクトPHP (PERFECT SERIES 3)を献本いただきました。ありがとうございます。このエントリでは同書のCSRF対策の問題点について報告したいと思います*1。 本書では、CSRFの対策について以下のように説明されています(同書P338)。 CSRFへの対応方法は、「ワンタイムトークンによるチェックを用いる」「投稿・編集・削除などの操作の際にはパスワード認証をさせる」などがあります。一番確実な方法は両者を併用することですが、ユーザ利便性などの理由から簡略化する場合で
この記事は賞味期限切れです。(更新から1年が経過しています) 通常なら文字が伏せてある状態のパスワード入力フォームですが、 入力したパスワードを確認する為の「パスワードを表示」機能を JavaScriptで実装する為のメモです。(jQuery使用) ざっくりとした仕掛け IE兄弟はinput要素のtype属性をいじれないらしい textとpasswordを並べて表示/非表示をトグルする コード抜粋 ざっくりとした仕掛け チェックボックスにチェックを入れると、 パスワードのtypeがtextに切り替わって内容が確認出来るようになる仕組み。 type直接いじれば楽じゃーん。 そう考えていた時代が僕にもありました。 IE兄弟はinput要素のtype属性をいじれないらしい ところがIEはinput要素のtype属性を弄ろうとするとエラーになります。 その為jQueryでも、attr()で同様の処
各種ブラウザに保存されているログイン情報を、一括表示!「BrowserPasswordDecryptor」。 IE / Firefox / Google Chrome / Opera に保存されている ID &パスワードを、一覧表示してくれるソフト。 各種ブラウザ上で保存してきたログイン情報を、ブラウザ、及びサイトごとにリスト表示してくれます。 表示されたログイン情報を、ブラウザ / サイト(URL)/ ユーザーID / パスワード ごとにソートする機能や、全てのログイン情報をHTML に書き出す機能 等が付いています。 「BrowserPasswordDecryptor」は、主要なブラウザに対応したパスワード解析ソフトです。 ブラウザ上で保存してきた各種Web サービスのログイン情報を、リスト形式で一覧表示してくれます。 表示されたログイン情報は、ブラウザ / サイト(URL)/ ユーザ
※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。 また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 管理者権限を奪取すると何をされるのか 昨今、OSやアプリケーションの脆弱性が公表された際に、管理者権限を奪取されることに対する注意喚起がなされるのはいまや日常茶飯事である。「管理者権限が奪取される」「システムが掌握される」と聞くと、なんと
ATTENTION: This add-on will cease to function in Firefox 57, due to legacy add-ons no longer being supported. Although a WebExtensions API is in the works, it is not available in Firefox 57. Unfortunately, there is nothing I can do, other than hope that the API gets into a future version of Firefox. For now, you have a few options: Do without the add-on for a while. If you used Saved Password Edit
会社で前任者が使用していたMacを使用する際など、管理者ユーザーのパスワードが紛失してしまってログインできなくなってしまう場合があります。っていうか、実際になって大変困りました>< このような場合、Mac OS Xでは「シングルユーザーモード」でOSを起動して、ユーザーのパスワードを自由に書き換えてログインできるようにすることができます。万が一の場合に便利なのでご紹介いたします。 参考にしたページはこちら。 http://d.hatena.ne.jp/viz3/20091029 ■対象環境Mac OS X 10.4以上であること (launchctlを使用するため)UNIX / Linuxの対話環境についてある程度以上の知識があること失敗しても泣かない心があること大変申し訳ありませんが、こちらに記載されている内容を実行して失敗してシステムが起動しなくなっても当方は責任を負いかねます>< 1
Bookmarklets are useful peices of JavaScript code that you can save in your browser's bookmarks. When you then click this bookmark it will run the code against the current page rather than the usual "go to the bookmarked page" behavior of bookmarks.
JavaScript++かも日記: 【iPhone】iPhone用 JavaScriptデータベースプログラミング入門 (1)でiPhoneのSafariでもclient-side storageが実装されていてjavascriptからSQLite3を利用できる、というのを知りました。 Firefox3に載っているsqliteよりもちょっとバージョンが古いのでFirefox3でSQLite3の全文検索機能を使って日本語を検索するのはまだできないようですが、できるようになるのも時間の問題でしょう。ためしにちょっと触ってみようと思ってclient-side storageをバックエンドにして、入力したパスワードを保存して次回から入力を楽にするためのbookmarkletをつくりました。 client-side storageはHTMLに書かれたjavascriptから読み出すことができ、データ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く