Kaspersky Labは8月22日(米国時間)、「Agent 1433: remote attack on Microsoft SQL Server|Securelist」において、Microsoft SQL Serverが世界中でサイバー攻撃のターゲットになっていると伝えた。調査結果によると、その多くはベトナムに存在しており、これにロシア、インド、中国、トルコ、ブラジルが続くとしている。 ベトナム (16%) ロシア (12%) インド (7%) 中国 (5%) トルコ (5%) ブラジル (5%) 2019年1月〜2019年7月 Microsoft SQL Serverへの攻撃頻度を可視化したマップ - 資料: Kaspersky Lab 主な攻撃方法はブルートフォース攻撃(総当り攻撃)とのこと。攻撃者はまずMicrosoft SQL Serverがインストールされたサーバであるか
ウェブサイト上の広告を非表示にするための広告ブロック機能は、悪意ある広告でPCが危険にさらされることを防ぎます。しかし、広告ブロック拡張機能「uBlock Origin」に、広告をブロックする仕組みを悪用し、ユーザーがウェブサイトで入力した情報を盗み出せる脆弱(ぜいじゃく)性が存在していたことが報告されました。 uBlock, I exfiltrate: exploiting ad blockers with CSS | PortSwigger Research https://portswigger.net/research/ublock-i-exfiltrate-exploiting-ad-blockers-with-css ウェブサイトに表示される広告を非表示にする広告ブロック拡張機能はコミュニティが提供する「フィルタリスト」を使ってウェブリソースを受け入れるかブロックするかを決定し
ソフトバンクショップで「Apple IDのパスワード提出」を求められた―― Twitterで物議の対応、ソフトバンクに見解聞いた
知人がソフトバンクショップでiPhoneを購入した際、Apple IDとパスワードの店舗への提出を求められた――Twitterに投稿された体験談が物議を醸しています。ねとらぼ編集部ではソフトバンクにこうした対応が通常行われるものであるのか取材しました。 この出来事を紹介したのは、Twitterユーザーのとらべと(@travettt)さん。IT関係に疎い知人が店頭でiPhoneを購入しようとしていたため、LINE経由でリアルタイムに助言していたそうです。ところが店側からAppleアカウント用のメールアドレスとパスワードの記入用紙を渡されたのを知り、慌てて止めに入りました。 画像提供:とらべと(@travettt)さん とらべとさんによると、知人が利用したお店はソフトバンクの直営店ではなく、代理店による経営。友人に対し「ちょっとまって、それ書いちゃダメ。店に出すの? 確認してみて」と指示したと
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題:ヤマーとマツの、ねえこれ知ってる?(1/2 ページ) 経歴だけは長いベテラン記者・編集者の松尾(マツ)と、幾つものテック系編集部を渡り歩いてきた山川(ヤマー)が、ネット用語、テクノロジー用語で知らないことをお互い聞きあったり調べたりしながら成長していくコーナー。今回は編集長(キーチ)も特別参加。 ヤマー マツさん、とんでもないニュースが入ってきましたね。 尼崎市、全市民46万人分の個人情報入りUSB紛失 委託先従業員が飲食店でなくしたか マツ また給付金ですか。給付金といえば記録媒体問題。 ヤマー 前回はフロッピーでしたが、今回話題になっているのは「USB」だそうです。 FD・おぼえていますか あなたのフロッピーは何インチで何フォーマット? マツ USBインタフェースにデータを入れるという高度な技術が
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。Yahoo! JAPAN研究所の大神 渉です。 パスワードの代わりに生体認証などを使うシンプルな認証技術「FIDO」の標準化活動に携わっています。 2020年6月4日に、FIDOアライアンスから私が著者として関わった「White Paper: Multiple Authenticators for Reducing Account-Recovery Needs for FIDO-Enabled Consumer Accounts」というホワイトペーパー(FIDOのベストプラクティスや標準技術の活用に関してFIDOアライアンスが発行する文書のこと)が発行されました。 本記事では、私の経験をもとにヤフーがパスワードレス認証
誤送信を防止できた経験のアンケート 平野善隆氏(以下、平野):変なの第2弾で、誤送信防止の観点でのPPAP。「パスワードを送らないことで誤送信を防止できた経験がありますか?」というアンケートで、「複数回ある」「1度だけある」が合わせて13パーセントぐらいいて、それらの方がPPAPのパスワードを送らないことで誤送信を防止できたと言っています。 一方、先ほどのセッションで同じ話がありましたが、パスワードを送らない、元のzipのファイルは送っちゃったという状態が、情報漏洩に当たるのか当たらないのかは、けっこう意見が分かれています。パスワードを送らないことで誤送信防止が成り立つような考えがあるように見えて、実は情報漏洩に当たると。「なんかちょっとおかしいんじゃないの?」という気はしますが、もうちょっと分析してみました。 「1度だけある」と「複数回ある」と誤送信を防止できた経験のある方の意見を出して
非営利団体Tide Foundationが暗号化のセキュリティメカニズムを発表した。同団体によると、パスワードクラックを14万倍難しくするという。 このメカニズムは「splintering」(分化)と呼ばれている。これは、先例のないレベルの保護実現を目的に、分散技術を用いてユーザー名とパスワードを小さな要素に分解するという、他に例のない暗号化方式だ。 この方式によってsplinteringしたパスワードを完全に復元するのは「途方もなく」困難になるとしている。リバースエンジニアリングやブルートフォース攻撃など、数多くの手口を駆使しても困難なことは言うまでもない。 このメカニズムを正式にリリースする前に、splinteringしたパスワードをクラッキングできるかどうかの戦いをハッカーに挑んだ。成功すれば1ビットコイン(約8500ポンド)の報奨金と、勝ち誇る権利を与えるとした。 3カ月間に650
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 -->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">\n <div class=\"
リトアニアのセキュリティ企業Nord Securityは3月30日、情報漏えいしたことがある企業のデータを基に、世界31カ国の大企業で働くビジネスマンが、仕事でよく使うパスワードのランキングを発表した。米国や日本、中国、インド、英国などからデータを集めたという。 「テクノロジー・IT」「航空・宇宙」など20業界でランキングを公開。例えばテクノロジー・IT業界の1位は「123456」だった。2位は「password」で、3位は「aaron431」。TOP10には「research」(4位)、「linkedin」(7位)、「社名や部署名(もしくはそれを一部変更したもの)」(12位)などもあった。 航空・宇宙業界も1位は「password」。2位は「社用メールアドレスのドメイン」、3位は「社名や部署名(もしくはそれを一部変更したもの)」だったという。TOP20には「opnesesame」(6位)
セキュリティ企業のESETは、ダークウェブ上で50万個を超える「Zoom」アカウントが販売されているとして注意を呼びかけた。セキュリティ企業のCybleによる警告を伝えた、BleepingComputerの報道を紹介したもの。 ESETによると、新型コロナウイルスによる感染症(COVID-19)の大流行で、企業の多くで従業員のリモートワークが実施されている。その結果、Zoomなどのビデオ会議サービスに対する需要が急上昇し、サイバー犯罪者たちにとって格好の標的になった。 ダークウェブ上で運営されている犯罪者向けフォーラムの1つをCybelが調査したところ、1アカウント当たり約0.2セント(約0.22円)で約53万個のZoomアカウントを入手できてしまったそうだ。取得した情報には、各アカウントのメールアドレス、パスワード、個人用ミーティングURLとそれらのホストキーが含まれていた。なかには、銀
パスワード共有用URLをサクッと発行して安全に共有できるウェブアプリ「Password Pusher」レビュー、無料で使えてセルフホストも可能
「他人にパスワードを送信したいけど、メールやメッセージアプリで平文で送るのは不安」という状況を経験したことがある人は多いはず。オープンソースで開発されているウェブアプリ「Password Pusher」を使えばパスワードを安全かつ簡単に送信することができるので、Password Pusherを使ったパスワード送信手順をまとめてみました。 Securely Send a Password | Password Pusher https://pwpush.com/ 上記のリンクをクリックすると、Password Pusherのトップページにアクセスできます。この画面で送信したいパスワード入力すると、パスワード共有用のURLを発行できます。 まずは言語を日本語化します。画面右上の「Language」をクリック。 「日本語」をクリック。 これで日本語化できました。 トップページに配置された各種機能
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に
パスワードマネージャ「Bitwarden」がPasskey対応を発表。Webサイトごとのログインも、BitwardenへのマスターログインもPasskeyで可能に パスワードマネージャのBitwardenがPasskey対応を発表しました。 Passkey対応のWebサイトへのログインも、BitwardenのマスターパスワードでのログインもPasskeyでできるようになります。 Passkeys are coming soon to Bitwarden! This summer, you'll be able to log into Bitwarden using a passkey as well as store #passkeys within your vault. Check out the blog: https://t.co/XqkHrNJzaf pic.twitter.co
知人や友達がくるたびに、自宅のWi-Fiパスワードを教えて入力してもらうのが面倒です。何か良い方法はないでしょうか。
・昨今、テレワークなど効率的な働き方が浸透中。Webサービス利用が増えると共に、管理すべきパスワードも急増。 ・「使い回し」と「単純な文字列」はNG。Webサービスを乗っ取られてしまう。 ・対策は、「1つ捻った」覚えやすい文章にすること。 テレワーク拡大で「パスワードの使い回し」大量発生!? 数年前から始まった働き方改革の推進に伴い、効率的な働き方を模索する動きが社会全体で進んでいます。テレワークやオンライン授業といった働き方/学び方も、昨今の情勢と相まって選択肢の1つとして普及していくでしょう。 そして労働効率の改善にはこれまで以上にWebサービスの利用が重要です。そして同時に、それらを利用するためのログイン情報、つまりIDとパスワードがWebサービスの数だけ必要になります。ID=メールアドレスであることが多いので、正確にはパスワードが急増するでしょう。しかし面倒だからと言って、使い回し
「添付ファイルのパスワードは別途送付します」 皆さんも、添付されたZIPファイルと共に、どこかで一度はこの文面を見たことがあると思います。 そして、この行為が無意味であるという事もまた、ご存じかと思います。 しかし、日本の特に大手企業では古い習慣や責任逃れとして、未だに使われ続けているのが現状です。 そして、そのような事を続けている企業ではもれなく、クラウドストレージサービスの使用も制限されているのがお約束です。 今回は、そんな脳死古い思考を引き摺った環境でも、安全でなるべく簡単にファイル転送を行えるアプリケーションを作ってみました。 なぜ無意味なのか まず初めに、そもそも何故「パスワードを別のメールで送付」が無意味なのかをまとめてみます。 セキュリティ強度 ZIP標準仕様書 6.0 Traditional PKWARE Encryption 6.0.1 The following inf
BL(ボーイズラブ)に特化したSNS「pictBLand」(ピクトブランド/ピクブラ)が不正アクセスを受け、ユーザーのメールアドレスやパスワードが流出した可能性がわかった。運営会社のGMW(名古屋市)が8月15日に発表した。被害範囲は明らかにしていないが、同サービスは累計130万ユーザーをかかえているという。 流出した可能性があるのは、pictBLandのログインメールアドレス・ログインパスワードと、関連サービスで、オンラインで同人誌即売会を行える「pictSQUARE」(ピクトスクエア/ピクスク)のログインメールアドレス、ログインパスワード、振込先口座情報、配送先住所情報。 他サービスで同じパスワードを使っている場合は変更を呼び掛けている。pictSQUAREの振込先口座/配送先住所情報は削除したという。 8月14日、pictBLandで不正なサイトが表示される不具合が発生。15日に全サ
Dropboxのパスワードマネージャー、将来的にみんなが無料で使えるようになるって2020.08.28 20:0013,400 三浦一紀 なんでもかんでもDropboxに入れとけばいいんだ! たいへんお世話になっているオンラインストレージサービス「Dropbox」。まだクラウドなんて言葉の意味もあまりわからないときから、「複数のパソコンでファイルが同期できる!」ということで愛用しまくっております。新規ユーザーを招待すると、紹介料として無料で使える容量が増えたりしたもんです。 そのDropboxが、有料プランである「Dropbox Plus」および「Dropbox Professional」ユーザー向けに、新機能の提供を開始しました。 そこで、 DropboxでCore Dropbox部門を統括するSVP&GM(Senior Vice President and General Manage
印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます パスワードが長い方が安全であるのは、常識だと言っていいだろう。パスワードが長くなるほど、あり得る組み合わせが増える。つまり、自動化システムであらゆる組み合わせを試していくことでパスワードを破る「総当たり攻撃」にかかる時間も、それだけ長くなるわけだ。 セキュリティの専門家は、もはや8文字のパスワードでは短すぎ、ゲーミングPCに使われるGPUのような、簡単に入るハードウェアでも簡単に破れると考えている。例えばHive Systemsの計算では、NVIDIAの「GeForce RTX 4090」を使用した場合、8文字のアルファベット(大文字と小文字)、数字、記号のすべての組み合わせを調べたとしても1時間もかからないという。これは2年前に主流だ
1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始。1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になる。 代表的なパスワードマネージャの1つである1Passwordが、パスワードレスでログインできる業界標準のパスキーへの正式対応を開始しました。 1Passwordによって、これまで可能だったパスワードの保存や管理、パスワードによるサインインだけでなく、1Passwordがパスキーの認証機器となり、パスキーの生成、保存、管理、パスキーによるサインインが可能になります。 Ready to unlock the web without passwords? Create, save, and sign in with passkeys using 1Password in the browser a
ここでは強いパスワードの作り方を具体的に見ていく。図1のように桁数や文字種を増やし、単純な文字列を使わないのが鉄則だ。問題は覚えやすさ。ブラウザーに記憶させるなら、複雑で覚えづらくても問題はない。だが、そうしない場合、手帳やパスワード管理アプリに記録するにしても、ログインのたびにそれらを参照するのはちょっと面倒だ。パスワードは覚えやすいに越したことはない。 図1 強いパスワードの条件は当然ながら、ある程度の桁数があってさまざまな文字種を含むことだ。一般的な単語を単独で使わないのは大前提。誕生日や電話番号などわかりやすい個人情報もNGだ。自分のSNSで公開している記念日や記録の数値なども避けたほうがよい 理想のパスワードは自分では覚えやすく、他人からは見破られない文字列。そこで提案したいのが、日本語のフレーズを基にした“語呂合わせ”だ。特に海外の攻撃者に対しては日本語のローマ字表記が効果的。
Apple・Google・Microsoftが「世界パスワードの日」にあたる2022年5月5日に、FIDO AllianceとWorld Wide Web Consortium(W3C)が手がけるパスワードレスのサインイン標準規格「パスキー」の利用拡大に合意しました。 Apple, Google and Microsoft Commit to Expanded Support for FIDO Standard to Accelerate Availability of Passwordless Sign-Ins - FIDO Alliance https://fidoalliance.org/apple-google-and-microsoft-commit-to-expanded-support-for-fido-standard-to-accelerate-availability-
富士通製ツール「ProjectWEB」への不正アクセス調査、129組織での情報流出が判明 「正規のIDとパスワードでログインされた」
富士通製のプロジェクト情報共有ツール「ProjectWEB」を導入していた官公庁などから情報が流出していた問題で、富士通は8月11日、計129組織から情報が流出していたとする調査結果を発表した。第三者が同ツールの脆弱性を突き、正規のID・パスワードを不正に取得し、ログインしていたという。 5月に判明した不正アクセスを受け、同社は流出範囲について調査・分析を進めていた。 流出を確認したのは、組織の内部システムを構成する機器に関する情報、プロジェクトの進捗管理表や体制図といった内部資料など。一部には関係者の氏名・メールアドレスなどの個人情報も含まれるという。129組織の詳細については「非公表」としている。 不正アクセスの方法について同社は「第三者が何らかの方法で正規のIDとパスワードを入手し、ログインしていた」と説明。IDとパスワードを盗まれた原因については明らかになっておらず、同社は「ツール
人類がZIPのパスワードを直後のメールで送る理由
IPAが公開している電子メール利用時の危険対策のしおりの影響 https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf ‘電子メールを安全に送受信するために、メールの本文や添付ファイルを暗号化することができます。‘ 普通の会社は安く手軽なセキュリティを好む、暗号化は簡単だ問題は暗号の解除だ そこでこんなサービスが登場する「パスワードは別メールで送信元に自動で同時送信」と言うものだググれば腐るほど出てくる システムさえ入れればお手軽なセキュリティしてますアピールが出来て漏洩したとしても言い訳がしやすい コストも安いとなると多くの企業が飛びついたのだろう、次! PマークやISMSを取得するために必要だから JIS改正に伴うプライバシーマーク審査基準の改正について https://www.jisa.or.jp/service/p
多くの日本企業でセキュリティ被害が増えている昨今、企業や組織はどう対応していくべきなのか。イー・ガーディアングループCISO 兼 EGセキュアソリューションズ取締役CTOである徳丸浩氏が、日本の「セキュリティのイマ」をわかりやすく徹底解説する連載企画第10弾。今回のテーマは「なぜパスワードレスは進まないのか? 普及停滞を打開する認証手法『パスキー』への期待と導入のステップ」です。古くから使われているパスワード認証は便利で使いやすい手法ですが、それゆえの欠点や脅威も多く、パスワードレスへの移行が長いこと求められ続けています。とはいえ、なかなか進んでいないのが現実です。なぜ進まないのか。パスワード認証に代わる手法を1つずつ例に挙げながら、最後には徳丸氏が期待を寄せている「パスキー」が持つ可能性を解説します。 パスワード認証に限界が見えてきた はい、「パスワードレス」というのはもうずいぶん長いこ
パスワード付き ZIP ファイルを hashcat + JtR + GPU で総当たりしてみる - CUBE SUGAR CONTAINER
少し前に以下のツイートが話題になっていた。 hashcat というツールと GTX 2080 Ti を 4 台積んだマシンで ZIP ファイルのパスワードを探索するというもの。 このツイートでは 15 桁までわずか 15 時間 (!) で探索できたとしている。 その探索速度はなんと 22.7 ZH/s (Z = ゼッタ = Giga<Tera<Peta<Exa<Zetta) に及ぶらしい。 Support for PKZIP Master Key added to #hashcat with an insane guessing rate of 22.7 ZettaHash/s on a single RTX 2080Ti. All passwords up to length 15 in less than 15 hours with only 4 GPUs! Excellent con
","naka5":"<!-- BFF501 PC記事下(中⑤企画)パーツ=1541 --><!--株価検索 中⑤企画-->","naka6":"<!-- BFF486 PC記事下(中⑥デジ編)パーツ=8826 --><!-- /news/esi/ichikiji/c6/default.htm -->","naka6Sp":"<!-- BFF3053 SP記事下(中⑥デジ編)パーツ=8826 -->","adcreative72":"<!-- BFF920 広告枠)ADCREATIVE-72 こんな特集も -->\n<!-- Ad BGN -->\n<!-- dfptag PC誘導枠5行 ★ここから -->\n<div class=\"p_infeed_list_wrapper\" id=\"p_infeed_list1\">\n <div class=\"p_infeed_list\">
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
2023/01/28 オープンソースカンファレンス大阪で発表したスライドです。 目次 1部 パスワード認証の課題 2部 ソーシャルログインのすすめ 3部 IDaaSのすすめ
Drive Password https://drivepassword.com/ Drive Passwordの特徴 「Drive Password」は、Google Drive上に暗号化して保存するパスワードマネージャです。 Drive Passwordの流れ Googleアカウントにログインし、Drive Passwordにログインする認証モジュール(パスワード/ファクタ認証/パターンロック)を登録していきます。なお、この情報はデバイス上で暗号化され、サーバーに送信されることはありません。 続いて、256ビットAESでデータを暗号化しGoodle Driveに保存します。一般的なパスワードマネージャと異なり、保存されたデータは、実際にGoogle Driveで保存されることでユーザーの管理下におかれます。破棄するパスワードをユーザー自身で物理的に削除することができるのが特徴の1つです
サイバー攻撃の脅威が広まる中、Webシステム管理者はパスワードの保存方法をいま一度確認する必要がありそうだ。特に注意すべきなのは、最新のWebアプリケーションフレームワークを使わずに開発した、古いWebシステム。パスワードが漏洩した際に簡単に解読されてしまう可能性があるので注意が必要だ。 2023年8月15日、作品投稿サイト「pictBLand」やオンライン即売会サービス「pictSQUARE」を運営するGMWが不正アクセスを受けたと発表した。pictBLandは作品情報のデータが改ざんされ、pictSQUAREでは会員情報が窃取されていると判明。ユーザーアカウント情報が約80万件流出し、メールアドレスは約61万件、電話番号は約67万件、配送先住所は約22万件、銀行口座情報は883件、X(旧Twitter)のIDは約24万件が流出したという。GMWはユーザーに対して、IDやパスワードを使い
【注意喚起】「楽天カードから緊急のご連絡」というタイトルの詐欺メールから本物そっくりなログイン画面に飛ばされパスワードを入力してしまう事件が相次いでいる
一丁(メダカクリーム) @watanabeiccyou これ、詐欺やで アドレスに「from楽天カード株式会社」て表示されるけど、違うねんで クリックしたら全てそっくりなログイン画面に行くけど、そこに入力したら終わりやで「調査に進捗があり次第連絡します」みたいに表示されるけど その直後にパス変えられて、お知らせメール停止されて不正利用される pic.twitter.com/jQJd3awLLx 2021-07-01 13:19:16
※こちらは「かいサポ(お買いものサポーターチーム)」が編集・執筆した記事です。 ※この記事は2023年11月13日に公開された記事を編集して再掲載しています。 パスワードは、ネットワーク経由のサービスに欠かせないもの。ところが、“簡単なパスワードはNG” 。しかも、“パスワードを使い回すとリスクが高まる” ため、もはや記憶に頼った運用は、実質的に不可能になっています。 そこで、強固にガードされたパスワード管理サービスを利用するのが、現状の最適解となっているところですが、実は、アナログな手法に回帰するという手段もあるのです。 「PassCard」は、完全にネットワークから遮断された環境でパスワードを管理できるセキュリティツールです。 アナログを経由すればハッキングは怖くない イタチごっこを繰り返すセキュリティ対策を単純化できる最も効果的な手段は、ネットワークとは隔離された環境でパスワードを管
ソフトバンクグループ(SBG)は、4月6日からパスワード付きZIPファイルとパスワードを同じ経路で送信する方法(いわゆるPPAP)を廃止する。セキュリティ強化が目的で、同日午後3時以降は、メール本文のみ受信し、添付ファイルはフィルタリングの時点で自動削除。受信できないようにする。PPAPはセキュリティ上の課題が多いとされ、内閣府や一部の民間企業で廃止する動きが出ている。 対象は正社員約240人と契約社員、アルバイト。今後は各部署や取引先企業と協議しながら、共有ストレージサービスなどへの移行を順次進める方針で、同社は「当社従業員のメールアカウントが、パスワード付き圧縮ファイルを添付したメールを受信した場合、全ての添付ファイルが削除され、メール本文のみが受信者に届くようになる。送信者には削除通知が送信されないため、当社担当者(受信者)とファイル授受の方法を確認してほしい」と呼び掛けている。2月
1Passwordの非ユーザーとも安全にパスワードを共有できる機能「Psst!」でログイン情報をシェアしてみた | DevelopersIO
ちゃだいん(@chazuke4649)です。 1Password使ってますか? 便利ですよね〜 先日、1Passwordにこんなアップデートがありました。 Psst! Now you can securely share 1Password items with anyone | 1Password 登録済みのパスワードなどのセキュアな情報を、1Passwordユーザー以外も含めた(!)、誰とでも安全に共有できる新機能 Psst! (Password Secure Sharing Tool)を発表しました。 めっちゃいいやん!と思ったので早速使ってみました。 やってみた 現時点ではPCのネイティブアプリでは実行できなかったので、Chromeブラウザでウェブアプリケーションにてやってみました。 まずは、Chromeで1Passwordを立ち上げ、任意のログイン情報を開きます。 いわゆるシェア
「非対称パスワード認証」の実証に成功、パスワード漏えいの脅威を一掃 | ScanNetSecurity
メテオーラ・システム株式会社は11月17日、パスワード漏えいにまつわる脅威を一掃する「非対称パスワード認証」の実証に成功したと発表した。協業や共創に関する問合せを受け付けている。 同社では、従来の「ID/パスワードのペア」による認証システムは、パスワードとそれに関連付けられたユーザの個人情報を予めサービス側が保管していることが、パスワードを標的としたサイバー攻撃や人為的ミス等の「パスワード漏えいにまつわる脅威の温床」になっていると指摘、「ID/非対称パスワード」への移行を提案している。 「ID/非対称パスワード認証」の、ユーザー登録時及びユーザー認証時の特徴は下記の通り。
公開日 : 2022年10月17日 カテゴリー : ユーザビリティ / アクセシビリティ 各種サービスへのログイン、インターネットバンキングなどの取引実行前の本人確認、といったシチュエーションで、多要素認証としてワンタイムパスワード (†) の入力が求められることが珍しくなくなってきました。従来の認証方法であるユーザー ID とパスワードの組み合わせに加えて、都度、動的に生成される一定の桁数の数字の並びをユーザーに入力させることで、セキュリティをより強固なものにしています。 † ワンタイムパスコード、確認コード、認証コード、などと呼ばれることもあります。 ところで、このワンタイムパスワードの入力欄の実装には、<input type="password"> が用いられているケースを時折見かけます (個人的な感覚としては、インターネットバンキングでこのような実装が比較的多く見られる印象です)。
パスワード使い回しは危険、ならば「今日からできること」を考えよう:サイバーセキュリティ2029(1/2 ページ) 本連載はタイトルにあるように「近未来のITを守るためにいまできること」を考えていきたいと思います。特にセキュリティにおいては1年後を想像することも難しく、その意味では大仰なタイトルにしてしまったことを反省しているのですが、近未来に実現されていることを希望することは自由です。おそらく多くの方に取って、すぐにでも実現してほしいことは「パスワードをなんとかする」ことではないでしょうか。 言葉にはしていないと思いますが、私たちを取りまくパスワードはもはや破たんしているといっていいでしょう。私もいろいろなコラムで「パスワードを使い回すことはやめましょう」と言い続けています。しかしその実、世間ではパスワード使い回しに起因する攻撃が成功してしまい、新たな被害者が生まれています。「安易なパスワ
パスワードがペッパー付きハッシュ値で保存されているサイトのSQLインジェクションによる認証回避の練習問題解答 - Qiita
この記事は、以下の問題の想定正解です。まだ問題を読んでいない方は、先に問題を読んでください。 ペッパー(pepper)というのは、ハッシュ計算前のパスワードに付与する秘密かつ固定のソルトのことです。ペッパーの機密性が保たれている限り、ハッシュ値からパスワードを復元することも、パスワードのハッシュ値(アプリ側で受付られるもの)を計算することもできません。 また、この問題の先行問題の知識も必要ですので以下の記事(および問題)も読んでおいたほうがよいでしょう。 さて、このペッパー付きの問題も多くの方に記事を読んで頂き、また解答もいくつかいただきましてありがとうございます。 出題時の以下条件を満たす想定解答を2種類(細かく分けると3種類)紹介します。 できればブラックボックス(つまりソースコードやテーブル定義を見ない)で解く ペッパーは覗き見してはいけない sqlmap等のツールは使っても良い s
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
世界中で攻撃を受けるMicrosoft SQL Server、パスワードの見直しを
広告ブロック拡張機能「uBlock Origin」にユーザーのパスワードが盗まれるCSSインジェクション脆弱性が存在
パスワード桁数が知られるとまずい? 尼崎市民46万人分の個人情報入りUSBメモリ紛失問題
パスワードのないログインを目指して 〜 ヤフーのFIDO標準化活動
12文字以下のパスワードは解読可能 普通のパソコンでも1秒間に50億回は解析できる
クラックするのは14万倍難しい、新パスワード暗号化方式
狙われたワンタイムパスワード 勝手に送金、被害急増:朝日新聞デジタル
漏えいデータから分析、業界別“ガバガバパスワード”集 海外セキュリティ企業が公開
50万個超の「Zoom」アカウントがダークウェブで販売中--パスワードの使い回しは危険
【Tips】Wi-FiパスワードをQRコード化して簡単にシェアする方法 - iPhone Mania
ハッキングに6億年かかるパスワードは意外にも「ThisIsMyPasswrd」
"添付ファイルのパスワードは別途送付します"へ対抗するために公開鍵暗号化ツールを作った - Qiita
腐女子特化SNS「ピクブラ」に不正アクセス メアド・パスワード流出か
Dropboxのパスワードマネージャー、将来的にみんなが無料で使えるようになるって
安全なパスワードの長さは?その質問自体が間違っているかも
パスワードマネージャの1Passwordがパスキーに正式対応を開始。パスキーの保存、管理、サインインに対応
覚えやすく強いパスワード作成の極意、日本語フレーズを語呂合わせで変換する
Apple・Google・Microsoftがパスワードなしの認証システム「パスキー」の利用拡大に合意
Microsoft自身が提供 ~「Edge」の保存パスワードを「Chrome」で利用可能にする拡張機能/「Authenticator」モバイルアプリと組み合わせれば、ほぼすべての環境でパスワードを同期できる【レビュー】
パスワードレス化が進まないのはなぜ? 普及停滞を打開する認証手法「パスキー」への期待と導入のストーリー
客の使い回しパスワード悪用か SBI証券の1億円流出:朝日新聞デジタル
【Ubuntu日和】 【第22回】強固なパスワードと二要素認証でUbuntuのセキュリティをさらに高めよう
Google Drive上に暗号化して保存するパスワードマネージャ「Drive Password」
GPU進化でパスワード解読が加速、旧システムは保存方法の見直しを
iPhone/iPadなどで保存したパスワードがWindows 10の「Google Chrome」で利用可能に/Apple、「iCloud for Windows 12.0」をWindows 10向けに公開
パスワードの管理、生成はこの不思議なカードにおまかせ。複雑な文字列でも忘れないようになるよ | ROOMIE(ルーミー)
ソフトバンクG、パスワード付きZIP廃止 本文のみ受信、添付ファイルは自動削除
多要素認証におけるワンタイムパスワードの入力欄 | Accessible & Usable
パスワード使い回しは危険、ならば「今日からできること」を考えよう