総務省|安全なパスワード管理|国民のためのサイバーセキュリティサイト
安全なパスワード管理 企業・組織におけるパスワードは、ユーザ名と組み合わせることで企業・組織内の情報資産へのアクセスの可否を決める重要なものです。パスワードの重要性を再認識して、適切なパスワード管理を心がけましょう。 他人に自分のユーザアカウントを不正に利用されないようにするには、推測されにくい安全なパスワードを作成し、他人の目に触れないよう適切な方法で保管することが大切です。 安全なパスワードの作成 安全なパスワードとは、他人に推測されにくく、ツールなどの機械的な処理で割り出しにくいものを言います。 理想的には、ある程度長いランダムな英数字の並びが好ましいですが、覚えなければならないパスワードの場合は、英語でも日本語(ローマ字)でもよいので無関係な(文章にならない)複数の単語をつなげたり、その間に数字列を挟んだりしたものであれば、推測されにくく、覚えやすいパスワードを作ることができます。
PCをリモート操作するTeamViewerの乗っ取りで被害が続出した件で開発元が声明を発表
by David Goehring 簡単・高速にPCのリモート操作を行える「TeamViewer」というソフトの不正利用により、勝手にAmazonなどで買い物をされる事案などが多発している件で、開発元がセキュリティを強化する旨の声明を発表しました。 TeamViewer Launches Trusted Devices and Data Integrity https://www.teamviewer.com/en/company/press/teamviewer-launches-trusted-devices-and-data-integrity/ TeamViewer confirms number of hacked user accounts is “significant” | Ars Technica http://arstechnica.com/security/2016/
「パスワードの強制定期変更」は時代遅れ、企業に再考促す
「強制的なパスワード変更は考え直すときだ」。米国で消費者の保護を担う連邦取引委員会(FTC)のローリー・クレーナー最高技術責任者が2016年3月2日に公表したブログが国内外で反響を呼んでいる。情報セキュリティ対策として定期的なパスワード変更をユーザーに強制するのは、「かつて考えられてきたよりも有益ではなく、むしろ逆効果となる場合がある」という。実は国内でも既に同じ議論があり、2014年の政府機関の情報セキュリティ基準では「定期変更の徹底」という文言が消えた経緯がある。 「情報セキュリティは、時間の経過とともに新たに登場する脅威や新たな対策によって変わる」。こんな書き出しで始まるブログは、ユーザーにパスワードを頻繁に変更させることは、攻撃者にとって推測しやすいものにしてしまうとして、長年行われてきた情報セキュリティ対策の見直しを求めている。 ブログでは、パスワードの有効期限を定めた場合につい
当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について - 株式会社ビックカメラ(平成28年3月3日)
平成28年3月3日 各位 株式会社ビックカメラ 当社インターネットショッピングサイトでの会員ID、パスワード不正使用被害について この度、第三者によって外部で不正に取得されたと思われる他サイトの会員ID・パスワードを用いて、何者かが当社インターネットショッピングサイト「ビックカメラドットコム」に不正アクセスし、ポイントを不正に利用された事実が発覚いたしました。 不正アクセスされたと思われるお客様の会員IDは、事案発覚後に利用制限措置を講じております。対象のお客様には、すでに連絡を取り始めております。 本件の詳しい事実関係は現在調査中です。既に警察等の関係行政機関には届出をし、捜査に全面的に協力をしております。 お客様にはご心配をおかけすることになりましたことをお詫び申し上げます。 お客様におかれましては、会員ID・パスワードの管理の重要性をご理解賜り、次のことを実施して下さいます様お願い申
総務省|報道資料|ウェブサービスに関するID・パスワードの管理・運用実態調査結果
総務省は、この度ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査した結果を取りまとめましたので公表します。 現在、インターネットショッピングやインターネットバンキング、ソーシャルネットワーキングサービス等、インターネットを通じて様々なサービスが提供されています。 総務省では、ウェブサービスにおいて利用者を確認する主な手段としてID・パスワードが利用されていることを踏まえ、ウェブサービスを提供する企業におけるID・パスワードの管理・運用実態について調査を行いました。 (1)約9割のサービスで3種類以上の文字種をパスワードとして利用できる パスワードとして利用可能な文字種(大文字・小文字・数字・記号)について、約9割が3種類以上利用可能であり、6割近くが4種類利用可能である等、大半のサービスで複数の文字種の組み合わせによるパスワードの設定が可能となっている。 (
パスワードの定期的変更がセキュリティ対策として危険であること | まるおかディジタル株式会社
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
総務省などがパスワードを定期的に変更するのを推奨する理由が非常に残念な可能性 - Windows 2000 Blog
筆者は幾度と無くパスワードの危険性を指摘してきた。例えば、一番採用されている8けたのパスワードの場合、その種類は「英字の大文字+小文字」の52種、「数字」の10種、特殊文字(計算を簡単にするために8種とする)を合計すると、70種その8乗、約576兆通りになる。 8けたの文字が全く分からないという前提で、「ブルートフォース(総当たり攻撃)」をすると、どのくらい時間がかかるのか。それは1秒間にどのくらい試行できるかということでもある。誤解を恐れずに言えば、実測では最近のPC環境(インテル Core i7プロセッサなど)でだいたい500万回から600万回くらいだ(ツールによって大きな差がある)。仮に、1秒間に1000万回も試行できるなら、クラックに要する時間は平均で0.9年になる こっちは、2年前の記事ですが、筆者の「日本セキュリティ・マネジメント学会常任理事、「先端技術・情報犯罪とセキュリティ
パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース
パスワードリスト攻撃につながる4つの原因と、ほんとに怖い2つのケース:萩原栄幸の情報セキュリティ相談室(1/3 ページ) 2014年は、IDやパスワードの使い回しが原因とみられるWebサイトへの不正ログインが多数発生した。この原因につながる4つのパターンがあることをご存じだろうか。特に2つは深刻な事態を引き起こしかねない。 2014年のセキュリティ動向を振り返ると、大きく注目されたことの1つにパスワードリスト攻撃を挙げることができるだろう。 「パスワード使い回しは危険」、注意されても状況変わらず この記事は2014年6月12日に掲載された。この類の記事は様々なニュースサイトやセキュリティ会社のWebサイトでも出されており、読者の方々も一度はご覧になったことがあると思う。 だが現在に至るまで、アンダーグラウンドの世界では「パスワードリスト攻撃は極めて有効だ」という評価が飛び交っている。筆者も
マスターパスワードの作り方 - Hacking My Way 〜 itogのhack日記
パスワードマネージャー「1password」を公開しているagilebitsのブログに、マスターパスワードについての記事が書かれていたので紹介します。 https://blog.agilebits.com/2011/06/21/toward-better-master-passwords/ 以下のポイントを忘れずに読んでください。 完璧を求めずに、より良くする方法を探す 過去の方法は通用しない タイプ出来ない、覚えておけないマスターパスワードは最悪だ、ということを忘れないで! マスターパスワードは変えない! パスワードを定期的に変えることが良いと言われているが、マスターパスワードは強力なものを設定して二度と変えなのが理想です。 変えるべきパスワードとは 短すぎるパスワードや"123456"のようなものは論外として、"Sally4th "や"Molly&Petty2"も十分危険です。 パスワ
マルウェアの次の狙いはパスワードマネージャー、IBMの考える解決策とは
By Pierre Lecourt 各社が提供しているパスワードマネージャーは、安全なインターネット・アクセスを確保できるシンプルな解決策とされており、ユーザーは強力なマスターパスワードを1つ設定するだけで、全てのウェブサイトへ簡単にアクセスできるようになります。さらに、サービスごとに「登録デバイス」「暗証カード」のような物理的認証や、「ソフトウェア証明書」「デジタル署名」を要求することでユーザーを判別する「追加認証システム」を採用するサービスも増加していますが、これらのコンビネーションを突破するマルウェアが、サイバー犯罪防止に取り組むIBM Trusteerの調査で見つかりました。 Cybercriminals Use Citadel to Compromise Password Management and Authentication Solutions http://securit
自宅の鍵を定期的に取り替える佐藤君(仮名)の話
パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明したと思います。比喩によって精密な議論ができるとは思っておりませんので、あくまでも主観的な「もやもや」を説明する方便として読んでいただければ幸いです。ここに登場する佐藤は架空の人物です。 徳丸: 佐藤君は自宅の鍵を定期的に取り替えていると聞いたんだけど、本当? 佐藤: 本当ですよ。毎年に替えています。毎年年末に鍵を取り替えて、安心な気持ちで新年を迎えるんです。徳丸さんは替えてないんですか? 徳丸: 替えないよ。鍵を落としたりしたらまた別だけど、そういうのでもなければ替えないよね。佐藤君はなぜ毎年替えるの? 佐藤: だって
パスワードの定期的変更問題についての徳丸先生の立場
徳丸 浩 @ockeghem 私がパスワードの定期的変更問題について取り組み始めたきっかけは、パスワードの定期的変更が当たり前のように要求されているが、これに効果があるのだろうかという疑問からでした。定期的変更を要求する記事は数多くありますが、その理由を明確に説明している記事は見つかりません 2014-10-19 10:13:25 徳丸 浩 @ockeghem そこで、手探りで「パスワードの定期的変更の意味探し」を始めました。私はこの種のことをよくやります。ある人から別の話題で、徳丸がやっていることは『存在しない聖杯を追い求めている行為』と言われました。同じように、「パスワードの定期的変更の意味」は私にとって「聖杯」でした 2014-10-19 10:13:54 徳丸 浩 @ockeghem 記事を書いてその反応を見たり、twitterでのやりとり、自身の思索の結果、「パスワードの定期的変
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
『Gmailアドレスとパスワードが漏えい』という記事タイトルは釣り - Windows 2000 Blog
米Googleのインターネットメールサービス「Gmail」のアドレスとパスワード約500万人分が漏えいしたと、複数の米メディア(USA TODAY、TNW、IBTimesなど)が現地時間2014年9月10日に報じた。しかし、パスワードにはGmailやGoogleアカウントに使われていないものも含まれているという。 『500万件の Gmail や Yahoo などのアドレスとパスワードをロシアのハッカーがまとめたものを公開』しただけだったというオチっぽいですね ここまでの有効性が低いデータということはハッキングしたいろいろなサイトでGoogleのメールアドレスを利用している人のIDとパスワードを集積しただけで篩(ふるい)にもかけていないんじゃないんでしょうか? なんでこんなタイトルにするのか訳が分からない・ω・ 正しくは 過去にハッキングしたGmail アドレスを利用したサイトのパスワードを
Gmailアドレスとパスワード約500万件が流出か
ロシア語の掲示板サイトにメールアドレスとパスワードを組み合わせた情報約500万件が掲載された。アドレスは大部分がGmailのものだったが、Yahoo!やHotmailなども含まれるという。 GoogleのGmailなどのメールアドレスとパスワードを組み合わせた情報約500万件がロシア語の掲示板サイトに公開されたという。同国のニュースサイトCNewsの報道を引用してメディア各社が9月10日付で伝えた。 ロシアのセキュリティ企業Kaspersky Labのニュースサービス「threatpost」によると、この情報はロシア語のビットコインセキュリティフォーラムサイトに9日夜に掲載された。メールアドレスは大部分がGmailのものだったが、Yahoo!やHotmailなどのアドレスも含まれるという。 流出したのは主に英語、スペイン語、ロシア語のアカウントの情報だったとThe Next Web(TNW
あなたはパスワードをいくつ覚えていますか
他社のWebサービスなどから流出したアカウント(ユーザーIDとパスワード)のリストを使って、別のWebサービスに対して不正ログインを試みる「リスト型攻撃」が後を絶たない(図1)。国内ネットサービスの多くが被害に遭っている(関連記事:「リスト型攻撃」が止まらない)。 リスト型攻撃は、「リスト攻撃」「パスワードリスト攻撃」「アカウントリスト攻撃」などと呼ばれている。2013年末ごろからは、総務省が発表資料などで「リスト型アカウントハッキング」という名称を使っているため、Webサービス提供者なども、この名称を使うようになっている(関連記事:リスト型アカウントハッキング)。 リスト型攻撃では、特定のIPアドレスから、数万回から数百万回にわたって不正なログインが試行される。だが、一つのユーザーIDに対するログイン試行は1~2回であることがほとんどなので、正規ユーザーのログイン試行と区別することが難し
ユーザーのパスワードを安全に保管する方法について - 11月 - 2013 - ソフォス プレス リリース、セキュリティニュース、ソフォスに関するニュース記事 - Sophos Press Office | Sophos News and Press Releases
※この記事は本社サイト 「Naked Security」掲載の記事を翻訳したものです※ by Paul Ducklin on November 20, 2013 この記事に関する最新の更新情報は Naked Security 掲載記事をご確認ください。 読者の方は、Adobe 社で 2013 年 10 月に発生したデータ侵害のインシデントについてはご存じでしょう。 これは、1 億 5 千万件のレコードが漏えいした史上最大級のユーザー情報データベースに関するインシデントであるだけではありません。今回のインシデントから別の問題も見えてきました。 漏えいしたデータから、Adobe 社がユーザーのパスワードを不適切な方法で保管していたことが明らかになりました。同社の利用した方法よりも格段に安全でパスワードを保管する方法はあります。またそれが、決して難しくないことを考えると、セキュリティの観点からす
パスワードをソルトつきハッシュ化してDBに保存するのがベストプラクティス…とは限らないという話 - kazuhoのメモ置き場
フレームワークの責務とセキュリティ - MugeSoの日記についての感想文です。 世の中にはたくさんの通信プロトコルが存在し、中には、特定の条件でパスワードを含む文字列をハッシュ化した値を検証しなければならないものも含まれています。 例えば、HTTP Digest認証の場合は、MD5("realm:user:password")を保存しておく必要がありますし、APOPの場合は生のパスワードを、CRAM-MD5の場合はMD5("password")を保存しておく必要があったはず。 で、こういった様々なプロトコルに対応可能な認証データベースを準備しようとすると、パスワードを復号可能な方式で保存しておく必要があります*1。 ただ、パスワードを復号可能な方式で保存するとか、開発者あるいは管理者としてやりたくないというのはもちろんそうなので。で、長期的には世の中どこへ向かってるかというと: 選択肢a
世の中に満ち溢れる「パスワードの定期的変更」についてまとめてみた。 - piyolog
いつも盛り上がる「パスワードの定期的な変更」ネタですが、多くの組織でこの対策が推奨されているということをTwitterで知りました。ここではパスワードの定期的変更についてまとめます。 パスワードの定期的変更の考察・関連記事 まずはここを読みましょう。 Bruce Schneier Schneier on Security: Changing Passwords 徳丸さんの記事 パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記 続パスワードの定期変更は神話なのか - ockeghem(徳丸浩)の日記 「管理者パスワードは何日ごとに変更すればよいか」に関する質疑応答 - ockeghem(徳丸浩)の日記 パスワードを定期的に変更する理由は何ですか? - QA@IT パスワードの定期的変更に関する徳丸の意見まとめ パスワードの定期的変更について徳丸さんに聞いてみた(1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch | Startup and Technology News
