パスワードの定期的変更について徳丸さんに聞いてみた(2)
高橋: こんにちは、高橋です。前回に引き続き、徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: はい。よろしくお願いします。 高橋: 前回は、「オンライン攻撃に対する予防としてパスワードの定期的変更は意味がない」という結論でしたが、今回は、事後の被害軽減策として、パスワードの定期的変更に意味があるか、というテーマですね。 徳丸: はい。その事後の話ですが、2つの話題があります。まず、前回の続きで、パスワードハッシュ値が漏洩してオフライン攻撃で解読されるまでの時間稼ぎとして、パスワードの定期的変更に意味があるか、次に、パスワードそのものが漏れている場合の緩和策として、定期的変更に意味があるかです。 高橋: それでは、まずハッシュ値が漏洩しているケースについてお願いします。 徳丸: はい。まず、前提として「パスワードを3ヶ月毎に変
パスワードの定期的変更について徳丸さんに聞いてみた(1)
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード
全部のサービスで異なるパスワードを使うべし、IPAが勧告
国内のインターネットサービスで不正ログインが相次いでいる事態を受けて、IPAは「パスワードを使い回さないように」と呼び掛けている。 情報処理推進機構(IPA)は8月1日、国内の主要サービスで不正ログイン事件が相次いでいる事態を受けて、インターネットユーザーを対象に利用する全てのインターネットサービスにおいて異なるパスワードを利用するよう呼び掛けた。 一連の事件では第三者が何らかの方法で入手したログイン情報を別のサービスでのログインに使用し、ログインに成功した場合にサービスが悪用されてしまう。不正ログインの成功率は低いものの、攻撃者が試行を重ねることで、実際に成功したケースは少なくないとみられる。 その背景には「同じパスワードをインターネットサービスで使い回す利用者が多いことが挙げられる」(IPA)とし、パスワードを強固にしてセキュリティソフトを利用していても、パスワードを使い回していればこ
eBook Japanの発表資料に見るパスワードリスト攻撃の「恐ろしい成果」と対策
eBook Japanに対する不正アクセスについて、詳細の発表があり、いわゆる「パスワードリスト攻撃」であることが発表されました。 前回のご報告までは「複数のIPアドレスからログインページに対して機械的に総当たり攻撃等を行う大量アクセス行為(ブルートフォースアタック)」とご説明しておりましたが、詳細調査の結果、「不正の疑われる複数のIPアドレスからログインページに対して、予め持っていたログインIDとパスワードの適用可否を試行する大量アクセス行為」であることが判明いたしました。 つまり、大量アクセス行為を仕掛けてきた者は、当社以外の他のサービスなどで他のサービスのログインIDとパスワードを不正に入手し、ユーザーがログインIDとパスワードを共通に設定している可能性を狙って当社サービスに不正にログインしようとし、上記件数についてはログインに成功してしまったということです。 そのように判断した根拠
高木浩光@自宅の日記 - 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意
■ 流出パスワードの紹介は改正不正アクセス禁止法第5条に注意 20日ほど前のこと、Twitterのものらしきパスワードが5万5千件ほど流出したそうだということで、「自分のものが含まれていないか確認しよう」という呼びかけが、Twitterやまとめサイトで展開されていた。この呼びかけは、「自分のメールアドレスとIDを調べることで、流出リストに自分が含まれているかどうか確認できます」として、晒されたID・パスワードのリストを紹介し、見てみることを奨めるものであった。このような行為は、5月1日に施行された改正不正アクセス禁止法の第5条に違反する虞れがあるので注意が必要である。 不正アクセス禁止法は、今年3月に国会で改正案が成立し、5月1日から改正法が施行されている*1。他人の識別符号を提供する行為は、「不正アクセス行為を助長する行為の禁止」として改正前では4条に規定されていたが、これが5条に移され
高木浩光@自宅の日記 - 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな)
■ 警察庁は子供にハッキングを唆すのを止めるべき(パスワードを玩具にするな) 小6・中3 サイト侵入で補導, 朝日新聞 マイタウン徳島, 2010年2月19日 女児は「アバター」と呼ばれる自分の分身に、現金と交換する疑似通貨で服やペットを買って楽しむ会員制ゲームをしていて、他人のアバターの服(2200円相当)を盗もうと計画。昨年10月、徳島市の中学3年の女子生徒に「疑似通貨を増やすいい方法を教えてあげる」とネットを通じて持ちかけてIDとパスワードを聞き出し、不正にゲームに入ったとされる。 (略)女児は「いろんなアイテムがほしくて悪いことをした」と話しているという。 小学6年生の女子児童が不正アクセス禁止法違反で補導されたというニュースだが、今もこういう事件が起きているらしい。子供達は、何が悪いこととされたのか、本当にわかっているのだろうか。同じことは6年前にも書いたが、もう一度書いておく。
「おい、メール読めなくなった。ちょっと直してくれよ」
「おい、メール読めなくなった。ちょっと直してくれよ」 「はい? ちょっと待ってください」 「早くしろよ。急ぎなんだからさ」 「ええと、メール受信すると……パスワードを訊かれますね。パスワードを入れてもらえますか?」 「パスワード? “1234”だよ。お前が入れろよ」 「あー、そういう簡単なパスワードはちょっと……後で変更してください」 「そんなことはいいから、さっさと直せよ」 「パスワードに“1234”と入力して、OK……あれ? これパスワードが違いますね」 「さっきからずっとそうなんだよ」 「いつもこの“1234”というパスワード入れてました?」 「知らん。メールを読むときにパスワードなんか入れたことねーぞ」 「じゃあ、“1234”というパスワードは何でしょうか?」 「ほら、パソコンを使うときに入れるやつだよ」 「ああ、Windowsのログオンパスワードですね。メール受信のパスワードはそ
すごい勢いで銀行やWEBのパスワードを可視化させるIC免許証
IC免許証がヒドイんです。 免許を書き換えようとして警察に行ったら、受付の申込書と一緒に、これからは免許がIC免許証になるから、つきましては4桁数字のパスワードを二つ書け、と。 言われるがままに思いつくパスワードを2つ書いて提出したら、こんな紙が返ってきました。 こんなことが書いてあります。 ICチップに次のとおり登録しました。この用紙は免許証とは別に保管しましょう。 というか、この紙に印刷されているパスワードは、とても大事なあっちのパスワードと、こっちのパスワードなんですけど。。。 何が問題か? 問題1.警察に免許書き換えに行ったら、申込用紙を書く際に、パスワードを2つも書けと言われた。 このパスワードを書く時点で、こうやって後から紙で返ってくることはわからないわけだから、当然、忘れない2つのパスワードを入力するハズ。プライオリティの高いツートップのパスワードを2つ入力してしまう可能性は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
