kuganoius @kuganoius 擁護派おおくない? ちゃんと13桁以上のランダム英数記号のパスワード記載できる?きちんとメモするの?毎回手打ちで打ち込むの?うっかりエディタとかに貼り付けてない?会社でも使い回す?持ち歩くつもり? 私はお勧めしないよ〜 twitter.com/shinhirota/sta… 2023-05-07 02:18:57
パスワード管理を巡って、とあるメモ帳がTwitter上で話題になっている。サイト名やID、パスワードを記載する項目があり、紙媒体でパスワード管理するための商品であることが見て取れる。投稿者がこの商品について問題提起したところ、他ユーザーから賛否両論のさまざまな意見が飛び交っている。 話題の商品は、手帳やノートなどのメーカーであるダイゴー(大阪市西区)が販売している「ID・パスワードブック」というメモ帳とみられる。2020年9月から販売されており、商品概要では「パスワード忘れやPCの故障やスマートフォンの紛失など、もしもの時に備えて記録しておくと便利」と紹介している。 このメモ帳を取り上げたツイートには8日午前11時半時点で、1万件以上のRTと約7.3万いいねが付き、大きな反響を集めている。ユーザーからは「やばすぎ、セキュリティとは」や「オシャレな情報漏えい」「大切なパスワードをまとめて他人
平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。 ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催され
アメリカのフェイスブックから大量の個人情報が流出した問題で、日本の利用者に、実際にフェイスブックで使っていたパスワードが記された脅迫メールが送りつけられていることがわかり、警視庁が注意を呼びかけています。 こうした中、日本の利用者に脅迫メールが送りつけられるケースが起きていて、このうち都内の40代の男性は16日昼すぎ、「ポルノ動画を閲覧している姿をウェブカメラで撮影した。拡散されたくなければ3000ドルをビットコインで支払え」などと英語で書かれた脅迫メールが届きました。 このメールはロシアのメールアドレスから送りつけられていて、本文にはフェイスブックでしか使っていなかったパスワードが記されていました。 こうした脅迫メールと情報流出との関係はわかっていませんが、インターネット上には同じような脅迫メールが届いたなどとする投稿が複数見られ、警視庁もこうしたメールが届いた際はパスワードを早急に変更
以前から言われていましたが、ちょっと違和感を感じています。どの部分をどのように捉えるか?というだけの話なのですが、ここ大切だと思っています。 日本もようやく......「パスワードの定期変更は危険」を報じた日経の記事が大きな話題に 色々な流れの後に出てきた考えなので、その全体を理解すれば「まぁ問題ない」ことですが、 ⇒ パスの定期変更は危険がある(場合もある) ⇒ パスは定期変更しない方が良い? ⇒ パスは変更しないほうが良い! という都合良いとこだけ摘まんでみたいなことになってきている...ような感じがしています。 セキュリティはトレードオフという基本 ダイエットみたいなものです。私も頑張らなきゃいけませんと書きながら言い聞かせています(笑) 継続しなければ意味もないのは当たり前ですが、超簡単な足し引き算で成り立っています。食った分(プラス)は何らかの方法で消費(マイナス)しなければ、ど
ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。 【結論】 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じて
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
keijitakeda @keijitakeda 「サイト毎に異なるパスワードを設定しておけば、(略)パスワードリスト攻撃に関しては完全に防御することができます。」 → サイトAから窃取したアカウント情報を用いてサイトAを攻撃するケースを防御することができません。 blog.tokumaru.org/2014/10/blog-p… 2014-10-16 22:09:04 keijitakeda @keijitakeda 「パスワードはできれば12文字以上で、できるだけ長く設定する」の根拠としてサイト側でパスワードがソルトハッシュ等で管理されていることが前提となるが現実には平文や復元可能な形で保存されていることも多く一律に適用する根拠としては希薄 blog.tokumaru.org/2013/08/2.html… 2014-10-16 22:27:31 keijitakeda @keijit
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く