SecurityGitHub Security Update: Reused password attackWhat happened? On Tuesday evening PST, we became aware of unauthorized attempts to access a large number of GitHub.com accounts. This appears to be the result of an attacker using… What happened? On Tuesday evening PST, we became aware of unauthorized attempts to access a large number of GitHub.com accounts. This appears to be the result of an
こんにちは、プラットフォーム サポートチームの高田です。 今回は、先日公開されました、パスワードについてのガイダンス情報をお届けします。 本記事は、米国 AD チームのブログ記事を一部翻訳したものです。ホワイト ペーパーにて詳細を確認されたい方はこちらのリンクを参照ください。ここでは、日本の IT 管理者向けに、パスワード管理について有用な箇所のみ、サポートチームで要約したものを提供いたします。 基本的にパスワード管理についてオンプレミス Active Directory、Azure Active Directory および Microsoft Account を問わず共通した情報ではありますが、一部の項目については、Azure Active Directory や Microsoft Account 固有の情報も含まれます。 IT 管理者向けの、パスワードに関するガイダンスは以下のとおり
Pass the Hash (Pass-the-Hash, パス ザ ハッシュ)とは、ハッキングテクニックの1つです。攻撃者は、通常、平文のパスワードユーザが要求されるケースで、パスワードの代わりにパスワードのNTLMハッシュ や LMハッシュを使用して、リモートのサーバやサービスを認証します。 読み方 Pass the Hash ぱす ざ はっしゅ Pass-the-Hash ぱす ざ はっしゅ 概要 攻撃者は、有効なユーザ名とハッシュ化されたパスワードを取得(他の方法やツールを使用して取得する)した後で、平文パスワード を得るために、ハッシュ に対する総当たり攻撃( brute-force) なしに、LMハッシュ / NTLMハッシュ を利用して、リモートのサーバ/サービスの認証に使用します。 攻撃者は、ソルトが利用されていないハッシュ化されたパスワードの認証プロトコルの脆弱な実装を悪
Naoki Hiroshima さんをゲストに迎えて、Apple vs FBI, 大統領選、Touch ID, テレビ、囲碁などについて話しました。 Show Notes Customer Letter - Apple No, Apple Has Not Unlocked 70 iPhones For Law Enforcement John McAfee: FBI should let me hack iPhone How To Uninstall McAfee Antivirus Daring Fireball: On the San Bernardino Suspect's Apple ID Password Reset 3D reproduction of TSA Master keys The Dangerous All Writs Act Precedent in the Ap
米判事は2月16日、Appleに対し、捜査当局が銃乱射犯のiPhoneに侵入するため、パスコード入力を10回間違えるとデータが消去されるiOSの機能をオフにするよう命じた。捜査当局は、入力可能なパスコードを全て試す「総当たり」でロックを突破可能になるという。米メディアが報じている。 このiPhoneは、昨年12月2日にカリフォルニア州サンベルナルディーノの福祉施設で起きた銃乱射事件の容疑者が持っていたiPhone 5c。事件では乱射犯によって14人が殺害され、乱射犯の夫婦2人も射殺された。 米連邦捜査局(FBI)の幹部は先週、捜査の重要な手がかりがiPhoneに残されている可能性があるものの、iPhoneのロック機能のためアクセスできていないことを明らかにしていた。 報道によると、Appleは「捜査当局を支援できる独自の技術的手段」を持っているが、任意の提供を拒否したという。このため米判事
Internet Engineering Task Force (IETF) D. M'Raihi Request for Comments: 6238 Verisign, Inc. Category: Informational S. Machani ISSN: 2070-1721 Diversinet Corp. M. Pei Symantec J. Rydell Portwise, Inc. May 2011 TOTP: Time-Based One-Time Password Algorithm Abstract This document describes an extension of the One-Time Password (OTP) algorithm, namely the HMAC-based One-Time Password (HOTP) algorithm,
ワンタイムパスワードカードは、お申込後約1週間~10日でお届出のご住所に普通郵便でお送りします。届いたカードを使って利用登録を行います。
Mozillaは4日、バグトラッカーのBugzillaが不正アクセスを受け、未公開の脆弱性など一般公開されていなかったバグ情報が流出していたことを公表した(Mozilla Security Blogの記事、 VentureBeatの記事、 Ars Technicaの記事)。 一般公開されないバグ情報にアクセスできるのはBugzillaの特権ユーザーのみだが、パスワードが流出した他のWebサイトと同じパスワードを使用していたユーザーのアカウントが不正アクセスに使われたとみられる。確認された不正アクセスで最も古いものは2014年9月で、2013年9月には不正アクセスが行われていた可能性もあるとのこと。 攻撃者のアクセスが確認された未公開バグ185件のうち、重大な脆弱性は53件。このうち43件は攻撃者がアクセスした時点で修正済みであり、攻撃者がアクセスしてから修正までの期間が7日以内のものが2件
ここ数日大学等のウェブサイトに対する侵入事件の報道やプレスリリースが続いています。 スケジュール管理ウェブサイトの改ざんについて – 早稲田 サイバー攻撃:徳島大電子会議システムサーバー乗っ取り - 毎日新聞 これらを読んで気になったことがあります。大学側が一定のセキュリティ対策を施していたが、それでも侵入されてしまったような論調だからです。まずは早稲田大学の事例ですが… 3.不正侵入の原因について スケジュール管理サーバにはアンチウィルスソフトウェアをインストールし、最新のパターンファイルを装備していました。しかし、当該サーバのOSのセキュリティパッチは最新のものではなく、また当該サーバに対しファイアウォールによる監視が行えていなかったため、不正侵入を防御できませんでした。現在は、OSのセキュリティパッチを最新のものに更新し、ファイアウォールの監視対象として防御しています。 スケジュール
今日(6月18日)午後、GigaZineで「iOSとOS XでiCloud・メール・ブラウザ保存のパスワードが盗まれる脆弱性が発覚、Appleは半年以上も黙殺」1というセンセーショナルな記事が出ました。まぁ、Webメディアだからしょうがないかという感じではありますが、記事を読んだだけでは何のことやらさっぱりなので、読みましたよ、元の論文。 その論文は、これです。 Xing, Bai, Li, Wang, Chen, Liao: “Unauthorized Cross-App Resource Access on MAC OS X and iOS” 2 まずは、著者たちに拍手をしましょう。 その上で: 著者たちが、初めて発見したと主張するゼロデイ攻撃は以下の4つ、細かくは5つに分類されます。 Password Stealing (Keychainのアクセス・コントロール脆弱性)[MacOS
研究者グループによれば、パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるという。 米AppleのOS XとiOSのアプリ間認証問題に起因する未解決の深刻な脆弱性について指摘した研究論文が公開された。パスワード管理ツールの「Keychain」が破られたり、サンドボックスをかわされたりして、パスワードや重要情報が流出する恐れがあるとしている。 論文は米インディアナ大学やジョージア工科大学、北京大学の研究者が発表した。それによると、OS XとiOSの体系的なセキュリティ分析を行った結果、深刻なセキュリティ問題が発覚。Apple Storesに承認され、サンドボックス化されている悪質アプリを使って、他のアプリの重要データに不正アクセスできてしまうことが分かった。 この問題は、OS Xで使われているパスワード管理ツール
【これは約 16 分の記事です】 (2015年の投稿のため、リンク切れや情報が古くなっている部分が一部ございます) 定期的なパスワード変更を奨めるサービス提供者や行政 ID・パスワードが流出する事件を受け、提供者や行政提供者側からユーザに対してセキュリティ対策の実施を喚起しています。 IDとパスワードの適切な管理 :警視庁(リング切れ) この中で、「パスワードの定期的変更」がうたわれています。このパスワードの定期変更については、セキュリティ対策として余り有効ではないという方は結構いらっしゃいます。 パスワードの定期的変更に関する徳丸の意見まとめ http://tumblr.tokumaru.org/post/38756508780/about-changing-passwords-regularly 実際、パスワードはどれくらいの頻度で変えるべきですか? | ライフハッカー[日本版] ht
MySQL 5.7.4で導入されたdefault_password_lifetimeがじわじわくる(MySQL 5.7.11でFIX!!) 【2016/01/13 10:12】 MySQL 5.7.11でdefault_password_lifetimeのデフォルトは0に変更になりました! それ以降のバージョンであればこの記事の内容は気にする必要はありません。 日々の覚書: MySQL 5.7.11でdefault_password_lifetimeのデフォルトが0になるらしい! TL;DR default_password_lifetime= 0 を秘伝のmy.cnfに入れておくつもり。 MySQL :: MySQL 5.7 Reference Manual :: 5.1.4 Server System Variables パラメーターの意味は読んで字のごとく、「最後にパスワードが更新さ
第1回:そのパスワードで大丈夫? ~ GPGPUによる高速パスワード解析 パスワード解析と解析マシン 2014.09.01 今回は、GPGPU(General-purpose computing on graphics processing units)によるオフラインパスワード解析に関する話を数回に分けてご説明いたします。 なお、今回使用している解析マシンでは、法人向けパーツ等は一切使用しておりません。一般に購入できるパーツのみで構成されており、どなたでも入手することが可能なマシンです。使用したソフトウェアについては、悪用防止のため公表致しません。 ここ数年、パスワード解析にグラフィックカードのGPU(Graphics Processing Unit)を利用することで、パスワード解析速度を格段に向上させる技術が注目を集めています。GPUを画像処理以外に利用するという技術は、一般的にGPG
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く