まとめ 【注意喚起】「7pay」でさっそくクレカ不正利用 相次ぐ高額チャージ→使用、ようやくセブンも認める 【7/4 14:00更新】全額補償の意向などが記載されたセブン&アイによる最新のリリースが掲出されています:[PDF]https://www.7andi.com/library/dbps_data/_template_/_res/news/2019/20190704_01.pdf 222410 pv 2255 156 users 485
もはや「バレないパスワードはない」 7億7300万件データ流出事件、対策はあるのか?:半径300メートルのIT(1/3 ページ) 複数のWebサイトから8億件近いメールアドレスやパスワードが流出した事件の発覚から数日、その深刻さが明らかになっています。あなたも被害に遭っていないかどうか、これからお伝えする方法でぜひ確認してください。 先週、大変気になる見出しが、「ITmedia エンタープライズ」を含む各紙で踊りました。「7億7300万件の情報が流出し、闇フォーラムで流通していたのが発見された」というのです。 7億7300万件の流出情報、闇フォーラムで流通 平文パスワードも出回る とはいえ、大量のデータ流出を報じた記事を目にすると、最近は逆に疑ってしまうようになりました。というのも、こうしたケースで流出した情報は、“大量”とはいえ出所不明だったり、大昔のデータが含まれていて実際の影響は少な
「添付ファイルがパスワードロックされたメール」とそれに続けてやって来る「パスワードだけ書かれたメール」。 多くの日本企業で当たり前のように採用されているメールセキュリティのガイドラインですが、前回取り上げた通り、これらは完全に日本だけのガラパゴスなルール/システムです。 なぜ日本だけの独自文化なのか、また欧米はどのように対応しているのかを確認しましょう。 日本独自のガラパゴスルールが広がったワケ まずは、日本でこのようなガラパゴスルールが当たり前になってしまった背景から。実際に情シス担当者の方に導入理由を聞くと、おおむね次のような答えが返ってきます。 「情報漏えい事件の防止や、起きてしまった場合のリスクヘッジである」 まず挙がるのがこちらです。この手のシステムの検討にあたり、稟議書の最初に書かれるであろう理由でもあります。 未然に防げれば何よりですし、「万一、誤送信してしまっても、暗号化さ
By val.pearl Googleなどのネットサービスで、パスワードを万が一忘れたときのために当人しか答えを知らない「秘密の質問」が用意されていて、その答えを真面目に設定している人は少なくないはずですが、Googleが膨大なデータを独自に分析したところ、この「秘密の質問」に対する安全性に疑問符が付かざるを得ない結果が出ました。 新リサーチ: 「秘密の質問」を問い直す - Google Developer Japan Blog http://googledevjp.blogspot.jp/2015/07/blog-post_8.html 「秘密の質問」はパスワードを忘れたときのための保険みたいなものなので、シンプルな答えを設定している人が多数います。しかしながら、答えがシンプルであればあるほど、一般的認知度が高かったり、簡単に入手できたりしてしまう場合が多いとのこと。例えば、英語圏のユー
いくら推測が難しいと思われるパスフレーズを考えても、1秒間に1兆回の試行が可能なコンピューターを使われれば簡単に破られてしまう。The Interceptでは、比較的容易に覚えられ、推測の困難なパスフレーズを生成する「Diceware」という方法をMicah Lee氏が紹介している(The Interceptの記事、 本家/.)。 ランダムなパスフレーズを考える場合にも、関連する単語を組み合わせてしまったり、文法に従った語順に並べてしまったりと、人間はどうしてもパターンから逃れることはできないのだという。歌詞や名言、慣用句などを元にした場合、大文字小文字を取り混ぜたり、記号を挟んだりしてもランダムなパスフレーズよりも弱くなる。既存の単語を使わずに、完全にランダムな文字と記号を組み合わせてしまうと覚えるのが難しくなってしまう。 Dicewareでは7,776個の英単語によるリスト(PDF)を
パスワードの最適変更間隔とその定量的効果の評価 twitter:@pseudoidentifie CC0 簡単のために、ユーザが候補とするパスワード選択空間と攻撃者が想定する攻撃パスワード空間は同一とし、個のパスワード候補が含まれるとする。また、攻撃者は、パスワード空間中から、ランダムに攻撃パスワードを順次選択し、攻撃を行うものとする(本攻撃方法は決して典型的な攻撃方法とは限りません)。また攻撃は、秒間隔で実施されるものとする。 ユーザがパスワードの変更を行わない場合、秒で、全パスワードの攻撃が可能であり、ユーザのパスワードを攻撃者は知ることができる。攻撃者がパスワードを知るのにかかる平均時間は以下となる。 次に、ユーザは、をより小さい自然数として、秒間隔でパスワードの定期変更を行う場合を考える(ユーザは個のパスワード候補からランダムにパスワードを選択するものとする)。また、簡単のために、
パスワードを平文で送ってくるっぽいサイトまとめ パスワードを平文で送ってくるっぽいサイトをまとめています。サイトと関連ツイートを参照できます。
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
「パスワードを忘れた」みたいな話を聞くたびに「アホじゃなかろうか?」と感じてしまう。 パスワード認証の最大の問題は複雑なパスワードを覚えておくのが難しいことである。 新たに覚えたことを忘れてしまうのは人間にとってあたりまえのことであって、 新しく決めたパスワードを忘れてしまうのはごく自然なことである。 苦労して考えた文字列は、一時的に覚えておくことができたとしても 時間がたつと忘れてしまうに決まっている。 忘れないための工夫を行なわず、 パスワードを覚えておこうと努力したり、 新しく決めたパスワードを将来覚えていられると思うのは愚の骨頂だと言わざるをえない。 新しく考えたパスワードを頭で覚えておくことが難しいのであれば、それをどこかに記録しておけばいいかもしれない。 パスワード文字列をそのまま書いておくのは危険なので、パスワードを暗号化して安全に記録しておくための 「パスワードマネージャ」
パスワードの定期的変更について元々違和感を持っています。今まで、理詰めでその違和感を解明しようとしてきましたが、それでも私の頭のなかのもやもやをうまく説明できたわけではありません。そこで、パスワードの定期的変更を「自宅の鍵を定期的に変更する比喩」を用いて、そのもやもやを説明したと思います。比喩によって精密な議論ができるとは思っておりませんので、あくまでも主観的な「もやもや」を説明する方便として読んでいただければ幸いです。ここに登場する佐藤は架空の人物です。 徳丸: 佐藤君は自宅の鍵を定期的に取り替えていると聞いたんだけど、本当? 佐藤: 本当ですよ。毎年に替えています。毎年年末に鍵を取り替えて、安心な気持ちで新年を迎えるんです。徳丸さんは替えてないんですか? 徳丸: 替えないよ。鍵を落としたりしたらまた別だけど、そういうのでもなければ替えないよね。佐藤君はなぜ毎年替えるの? 佐藤: だって
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
Big Data Challenges, Presented by Wes Caldwell at SolrExchage DCLucidworks (Archived)
高橋: こんにちは、高橋です。先月に引き続き徳丸さんをお招きして、今度はANAの不正ログイン事件についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、事件の概要を説明します。「ANAマイレージクラブ」のWebサイトに不正ログインがあり、顧客9人のマイレージ、総計112万マイルがiTunesギフトコードに勝手に交換されていたとするものです。当初顧客の通報で発覚した点はJALの場合と同じですね(参考)。 徳丸: で、私はなにをしゃべればいいのですかね。お招きいただいたので出てきましたが、パスワードがJALは数字6桁、ANAは4桁ですが、それ以外はあまり変わらないのですよね。 高橋: JAL、ANAと事件が続きましたが、攻撃手口は見えてきていないのでしょうか? 徳丸: 公式発表も報道もあまり情報がないので確定的なことは言えないのですが、
前回は、サービスごとにユニークなパスワードを作る方法を提案しました。 今日一緒にランチを食べていた、元同僚からこんなことを教わりました。 「似たことを、ブルース・シュナイアーが言ってたよ」 ブルース・シュナイアー(Bruce Schneier、1963年1月15日 – )は、アメリカ合衆国の暗号研究者、コンピュータのセキュリティ専門家、作家。BT Counterpaneのコンピュータセキュリティと暗号に関する著作があり、Counterpaneインターネットセキュリティ社[1]の創設者であり、最高技術責任者(CTO)でもある それはこちらのエントリでした。 興味深かったのでざっくりサマって見ます。 私の英語力は非常に残念なので、ミスがあったらぜひ教えて下さい。 Passwords / paul.orear はじめに 一番良いパスワードは、それが壊れた言葉であることです。 と言うのは攻撃者はた
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く