盗み見されても問題ない歪み画像を用いたパスワードシステム。筑波大が考案
AmazonやPayPalの「2段階認証」を突破するための音声ボットがハッカーに販売されている
多くのネットサービスでは、アカウントに新たなデバイスからログインがあったり通常とは違う操作が行われたりした際に安全にアカウントを保つためのセキュリティ機能として、ワンタイムパスワードをスマートフォンなどに送信して本人確認する2段階認証が実装されています。「2段階認証を設定してあるから自分のアカウントは安全だ」と思っている人も多いかもしれませんが、オンラインの地下マーケットでは「2段階認証を突破するためのボット」が拡大していると海外メディアのMotherboardが報じています。 The Booming Underground Market for Bots That Steal Your 2FA Codes https://www.vice.com/en/article/y3vz5k/booming-underground-market-bots-2fa-otp-paypal-amazon
ITベンダーが次々「脱PPAP」、日立に続き富士通やNTTデータも
平井卓也デジタル改革担当大臣の宣言が引き金となり、「脱PPAP」が日本中で加速している。暗号化ファイルとパスワードをメールで送る「PPAP」は、セキュリティー対策として無意味だからだ。日立製作所に続いて富士通やNTTデータも脱PPAPに動く。PPAPがなぜ悪いのか。その5つの「大罪」を振り返ると共に、安全に社外へファイルを送る、正しいやり方を紹介しよう。 ある日本の大手ITベンダーではつい数年前まで、こんな光景が繰り広げられていたという。昼過ぎのオフィスに事業部長クラスの役職者が部下数人と共に現れ、「メール誤送信防止のために守るべき原則」と書かれたパネルの内容の唱和を求める。するとフロア全員が業務を止めて立ち上がり、「添付ファイルは必ず暗号化ZIPにし、パスワードを別メールで送ること」と繰り返すのだ。こうした数日間に及ぶ「PPAPキャラバン」が、このベンダーでは年に1~2度の頻度で開催され
Zipファイルのクラック
メールでZipファイルを送って次のメールでパスワードを送るという無意味より悪いセキュリティ対策が問題になっている。なぜ無意味より悪いかというと,Zip暗号化は強度が十分でない上に,次のメールで送るパスワードは無意味で,さらにゲートウェイでのウイルス対策ができなくなるのでウイルス送付に利用されやすいためである。 PythonでZipファイルを展開する方法は文字コードのところに書いたが,同様にしてパスワードをブルートフォースで破ることも原理的には可能である。4桁数字のパスワードで暗号化した test.zip をクラックするには次のようにすればよいであろう: from zipfile import ZipFile with ZipFile('test.zip') as z: for i in range(10000): pw = f'{i:04d}' try: z.setpassword(pw.
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた
ベストなパスワードマネージャーはこれ!数十種類から厳選してみた2020.11.25 21:0063,872 Andrew Cunningham, Thorin Klosowski -WIrecutter [原文] ( satomi ) Tags : プロダクトバイヤーズガイドWirecutterソフトウェアレビュー ネットで個人情報が盗まれたら大変! 保護の基本は2段階認証とパスワード管理ソフトというわけで、今回はガジェット徹底比較でおすすめをバシッと言い切る信頼の米国メディア「Wirecutter(from The New York Times)」 が数十種類を審査、4つをテストして、機能と互換性、堅牢性、使いやすさの観点から選んだベストを紹介します。 イチ押し:1Password1Passwordアプリは使いやすさ抜群。読みやすい文章でセキュリティのおすすめが表示され、使う人の身に立っ
「ZIPで送ります。パスワードはあとで送ります」は、一体なぜダメなのか
平井卓也デジタル改革担当相は2020年11月17日、中央省庁の職員を対象に「パスワード付きZIPファイル」の送信ルールを廃止する方針を明らかにしました。政府の意見募集サイト「デジタル改革アイデアボックス」に投稿された意見を採用したものです。 この流れに乗り、クラウド会計ソフトを提供するfreeeは、2020年12月1日から対外的に「メールによるパスワード付きファイルの受信を廃止する」と発表しました。メールは、当然ですが受信者がいれば送信者がいます。そのため“受信しません”と表明をすることは重要でしょう。 freeeは今後、パートナー企業や取引先からのZIPファイル付きメールを添付ファイルを削除して受信するとのことです。本文はそのまま維持されるため、これで困ることはないと思われます。 プライバシーマーク制度を運営する日本情報経済社会推進協会(JIPDEC)は、2020年11月18日に「メール
グーグルの認証アプリ「Authenticator」、ワンタイムパスワードが盗まれるおそれ
サイバーセキュリティ企業のThreatFabricは2月、「Google Authenticator」アプリで生成された2要素認証(2FA)コードを盗み出す機能を備える「Android」マルウェアを初めて発見した。 このマルウェアは以前に発見されていた「Cerberus」の亜種。これまで2FAのワンタイムパスワード(OTP)を窃取する機能は備えていなかった。 Cerberusはバンキング型トロイの木馬とリモートアクセス型トロイの木馬(RAT)のハイブリッドだ。Androidデバイスが感染すると、ハッカーはマルウェアのバンキング型トロイの木馬機能を利用して、モバイルバンキングアプリの認証情報を盗み出す。 Cerberusは、アカウントが2FA(つまりGoogle Authenticatorアプリ)で保護されている場合に、攻撃者がRAT機能を通じてユーザーのデバイスに手動で接続できるよう設計さ
GPUでZIPパスワードを解析する - Qiita
企業間のファイルのやり取りにZIPファイルの暗号化がされていることが多いのですが、その暗号は意味がなかったり、弱かったり、余計にセキュリティリスクが高くなっています。ZIPの暗号化が使えないことを証明するにはパスワードを解析するのが一番です。 パスワードが解析できるなら、もうあとからパスワードを送る必要はないのです。 用意するもの Windows PC Windows10を使いました。 GPU できる限り早いやつ ノートPCなので、外付けGPUケースにThunderbolt3でGPUを接続しています。 GTX 2080とケースで 10万円ぐらいかかっています。 CUDA Toolkit あらかじめ入れておきましょう。 hashcat hashcatのWindows版で公式サイトからダウンロードしたもので、バージョンが5.1.0の場合は古いので対応していません。 Windows版のJohn
PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ
PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ:今さら聞けない「認証」のハナシ(1/4 ページ) ほとんどの人が日常的に行っている、ログイン、サインインなどの認証作業。認証で利用したパスワードが漏えいして第三者からの不正アクセスを受けたりするなど、認証をめぐるセキュリティの問題は後を絶ちません。こうした課題を解決するには、サービス提供者側だけで対策するだけでなく、サービスの利用者も正しい知識を持っておくことが必要でしょう。 本連載記事では、認証の仕組みや課題、周辺の情報について、できるだけ分かりやすくお伝えしていきます。 連載:今さら聞けない「認証」のハナシ 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介します。 執筆は、業務用の「トークンレス・ワンタイムパスワード」認証サービスを提供する認証セキュリティ専門
21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT
井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報セキュリティ対策の一環として、「後続メールでのパスワード別送」を採用する企業が数多く存在します。漫画のようにパスワード別送をシステムで自動化している企業も少なくありません。 では「後続メールでのパスワード別送」は何が問題なのでしょうか。代表的な2つの点を挙げます。 1.後続メールでパスワードを別送しても、セキュリティはほぼ向上しない 電子メールはその仕組み上、基本的に相手に届くまでに複数のサーバを経由します。メール送信にTLS/SSLを用いても、暗号化が保証されるのは自分が使用しているメール
脅迫メールが来た - novtanの日常
いやー、来るんですねー。2通目なんだけど。 ybb.ne.jpは昔から使っているYahooBB!(東京めたりっくが買収されたので仕方なく…)のアカウントですね。 一部伏せ字です。 こんにちは! あなたは私を知らないかもしれませんし、なぜあなたはこの電子メールを受け取っているのだろうと思っていますか? この瞬間、私はあなたのアカウント(xxx@ybb.ne.jp)をハッキングし、そこからメールを送りました。 私はあなたのデバイスに完全にアクセスできます! 今私はあなたのアカウントにアクセスできます! たとえば、xxx@ybb.ne.jpのパスワードはxxxです 実際に、私は大人のvids(ポルノ資料)のウェブサイトにマルウェアを置きました。あなたは何を知っていますか、あなたはこのウェブサイトを訪れて楽しんでいました。 あなたがビデオクリップを見ている間、インターネットブラウザはRDP(Rem
新手の脅迫メールに注意 題名と本文に本物のパスワードが… | NHKニュース
本物のパスワードを突きつけ「アダルトサイトの閲覧履歴を暴露する」として金銭を要求する脅迫メールが相次いで確認され、民間のセキュリティー機関では闇サイトなどに流出した情報を何者かが悪用していると見て注意を呼びかけています。 メールの題名と本文に、受信した人が実際に使っているパスワードを記したうえで、英語で「アダルトサイトの閲覧履歴を暴露する」などと脅し、十数万円相当の仮想通貨を支払うよう要求しています。 被害はまだ確認されていませんが、中にはすでに使われていない古いパスワードが書かれていたケースもあったことから、何者かが企業などから流出した顧客のメールアドレスやパスワードを闇サイトで入手するなどして脅迫メールを送りつけていると見られています。 JPCERTコーディネーションセンターの佐々木勇人さんは「メールが送りつけられても、決して取り合わず、速やかにパスワードを変更してほしい。どこから情報
mixiで26万アカウントに不正ログイン リスト型攻撃、試行430万回
流出したID、パスワードのリストを使い、別のサービスへの不正ログインを行うリスト型アカウントハッキングの被害が相次いでいる。ミクシィは6月17日、SNS「mixi」がリスト型アカウントハッキングを受け、16日までに26万3596アカウントが不正ログインにあったと発表した。不正ログインの試行回数は430万回にのぼったという。17日時点でも攻撃は継続中で、対象アカウントは拡大する可能性がある。 疑わしいIPアドレスからアタックを受けたのは5月30日。6月2日にユーザーから問い合わせを受けて調査した結果、不正ログインを確認した。現時点で、課金やmixiポイントの不正利用などの被害は確認しておらず、同社システムではクレジットカード情報は保有していない。 不正ログイン対象ユーザーのうち1か月以内にmixiにログインしているユーザー7万8058アカウントには、mixiメッセージでパスワードの変更を依頼
「パスワードは定期的に変更してはいけない」--米政府
<アメリカの電子認証専門機関が、定期的なパスワード変更の推奨をやめると決めた。エンドユーザーもいずれ、代わりの新しい「パスフレーズ」を要求されるようになるはずだ> 米政府機関はもう、パスワードを定期的に変えるのを推奨しない。アメリカの規格標準化団体、米国立標準技術研究所(NIST)が発行する『電子認証に関するガイドライン』の新版からルールを変更する。 ウェブサイトやウェブサービスにも、サイトが乗っ取られたのでもない限り、「パスワードが長期間変更されていません」などの警告を定期的に表示するのを止めるよう勧告するという。銀行や病院のように人に知られてはいけない個人情報を扱う機関も同じだという。 【参考記事】パスワード不要の世界は、もう実現されている?! 実は近年、情報セキュリティー専門家の間でも、特別の理由がない限り、ユーザーにパスワード変更を求めるべきではないという考え方が増えてきた。なぜな
武田圭史 » 【パスワードの定期変更1】〜まずは結論から
ここ2年ほど続けてきたパスワードの定期的な変更をめぐる日本での一連の議論について論点も出尽くしたように思われますので、これまでの議論の経過についてまとめておきたいと思います。まず最初に本エントリーにて私の認識を結論として記述しておきます。内容は当初より変わるものではありませんが誤解のないように自身のスタンスを明確にしておきたいと思います。 【結論】 パスワードを定期的に変更することによるセキュリティ上の効果に関する評価はケースバイケースであり、システムの用途や個々の利用者の利用形態によって意味がある場合もあればない場合もある。そのために一律に意味があるとも無意味であるとも言うことはできないと考えています。 また、私は「パスワードの定期変更は無意味」と言う表現を客観的事実についての表現として使用すべきではないと考えています。その理由は、こういった表現によって多くの事実誤認が生じていると感じて
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
パスワード定期的変更の効能について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
さよならパスワード マイクロソフト、顔認証など標準に - 日本経済新聞
TechCrunch | Startup and Technology News