「秘密の質問」が突破される確率は? Googleが調査
例えば米国人の「好きな食べ物」の質問に対する答えは、1回の推測だけで19.7%の確率で言い当てられた。 「最初のペットの名前は?」「好きな食べ物は?」「母親の旧姓は?」――。オンラインサービスのパスワードを忘れて復旧する時のために登録しておくそんな「秘密の質問」は、セキュリティ対策としては「根本的な欠陥」があるという研究結果を米Googleが5月21日に発表した。 こうした質問は、ユーザーが本人であることを確認して不正ログインを防ぐための措置として普及しているが、Googleはその安全性を検証する目的で、Googleアカウントの復旧に使われていた数億件の秘密の質問を分析した。 その結果、「アカウント復旧の仕組みとしてそれだけで利用するにはセキュリティも信頼性も不十分」という結論に達したという。 理由の1つは、答えが簡単に分かってしまうこと。例えば、米国人の「好きな食べ物」の質問に対する答え
HashiCorp社が出したVaultとはどういうものなのか - 理系学生日記
HashiCorp 社から、新たなソフトウェアである Vault by HashiCorp がリリースされました。 - HashiCorp Blog: Vault この Vault について、Getting Started を一通り実施した後に Docs の一部を確認してみたので、簡単にその内容をまとめてみます。 Vault とは何なのか Vault を一言で言うと、機密情報(Secret) を管理するツールです。 これだけ IT が広がっている現在、機密情報の範囲も広がり続けており、データベースにアクセスするためのユーザ/パスワードや、連携するシステムの API キー等、多岐に渡ります。こういった情報、おまえのところのシステムではどう管理してた?XML に生で書いてる、あるよねそういうの。jdbc.properties に直書き、うんうんわかるわかる。ちょっとがんばったら crypt で
The Regrettable Reason Why SSO Users Have To Be Forcibly Signed-out on Mobile | The Official Slack Blog
The Regrettable Reason Why SSO Users Have To Be Forcibly Signed-out on Mobile The Regrettable Reason Why SSO Users Have To Be Forcibly Signed-out on Mobile You probably heard that we announced a security incident earlier today. If you didn’t see the blog post, you will have seen the emails. At the same time,… You probably heard that we announced a security incident earlier today. If you didn’t see
安全なウェブサイトの作り方改訂第7版の変更点と変わらない点
IPAの安全なウェブサイトの作り方 改訂第7版が公開されました。 このエントリでは、安全なウェブサイトの作り方の元々もつ特徴(変わらない点)と、第7版の変更のポイントについて説明します。 なお、私は安全なウェブサイトの作り方の執筆者の一人ではありますが、以下の記述は私個人の意見であり、IPAを代表するものではありませんので、あらかじめご承知おきください。 安全なウェブサイトの作り方の変わらぬ特徴 安全なウェブサイトの作り方の特徴は、「まえがき」の中で述べられています。 本書は、IPAが届出を受けたソフトウェア製品およびウェブアプリケーションの脆弱性関連情報に基づいて、特にウェブサイトやウェブアプリケーションについて、届出件数の多かった脆弱性や攻撃による影響度が大きい脆弱性を取り上げ、その根本的な解決策と、保険的な対策を示しています。 すなわち、以下の2点がポイントと考えます。 脆弱性の選定
プレス発表 「安全なウェブサイトの作り方 改訂第7版」を公開:IPA 独立行政法人 情報処理推進機構
IPA(独立行政法人情報処理推進機構、理事長:藤江一正)は、ウェブサイトの開発者や運営者向けの「安全なウェブサイトの作り方」にパスワードリスト攻撃への悪用防止対策等を新たに追加した改訂第7版を2015年3月12日(木)からIPAのウェブサイトで公開しました。 URL:https://www.ipa.go.jp/security/vuln/websecurity.html IPAでは、必要な技術的配慮が不足していたために起こるウェブサイトの情報漏えいや改ざん等、意図しない被害を防ぐため「安全なウェブサイトの作り方」を2006年から発行しており、これまでに6版を数えています。その内容には、IPAへの届出件数が多く攻撃による影響度が大きいソフトウェア製品やウェブアプリケーションに関する脆弱性関連情報を取り上げ、適切なセキュリティが考慮されたウェブサイト作成のためのポイントをまとめています。 7版
米ヤフー、「オンデマンド」パスワードを導入--パスワード記憶不要に
テキサス州オースチン発--米Yahooは米国時間3月15日、「オンデマンド」パスワードという新しいサービスを米国で開始した。これは同社が携帯電話に送信する短いパスワードでYahooアカウントへのログインを可能にするもので、これまでのようにパスワードを覚える必要がない。 仕組みはこうだ。まず通常のパスワードを使用してYahooアカウントにログインする。セキュリティ設定でオンデマンドパスワードをオンにし、携帯電話番号を登録する。次回ログインする際にはパスワードを入力するフィールドの代わりに「send my password」(パスワードを送信)と書かれたボタンが表示され、これを押すと4文字のパスワードが携帯電話に送られてくる。 「これがパスワードを排除していくための第一歩だ」と、同社のコンシューマープラットフォーム向け製品管理部門バイスプレジデントDylan Casey氏は、オースチンで開催中
本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子
2月1日~3月18日は「サイバーセキュリティ月間」です。 普及啓発活動へご協力ください。 不審なメールによる情報漏えい被害や個人情報の流出など、生活に影響を及ぼすサイバーセキュリティに関する問題が多数報じられています。 誰もが安心してITの恩恵を享受するためには、国民一人ひとりがセキュリティについての関心を高め、これらの問題に対応していく必要があります。 このため、政府では、サイバーセキュリティに関する普及啓発強化のため、2月1日から3月18日までを「サイバーセキュリティ月間」とし、国民の皆様にサイバーセキュリティについての関心を高め、理解を深めていただくため、サイバーセキュリティに関する様々な取組を集中的に行っていきます。
![本日の情報セキュリティコラム[国民を守る情報セキュリティサイト] - デジタル初心者・高齢の立場から考える『情報セキュリティ対策』 老テク研究会 事務局長 近藤 則子](https://cdn-ak-scissors.b.st-hatena.com/image/square/807d51f8f5c93f9a7c74859fd3cd49086fe5b68f/height=288;version=1;width=512/https%3A%2F%2Fsecurity-portal.nisc.go.jp%2Fassets%2Fimages%2Fcybersecuritymonth%2Fscreenshot-index.png)
気遣いのあるデザインの裏にある努力 - ワザノバ | wazanova
http://paulstamatiou.com/twitter-video/ 1 comment | 0 points | by WazanovaNews ■ comment by Jshiike | 38分前 フレームワークやツールが進化することで、そこそこのスキルがあれば比較的短い期間でもそれなりのプロダクトをつくれるようになるという恩恵を世の中全体が享受できますが、一方で才能のある人たちは、その便利になった道具を利用して、更に先に進みます。そしてUIの競争は際限なく続きます。 一つの目のパターンは、意外なところまで気遣いをしているので、それを発見したときにポジティブな喜び、驚きを感じるところ。 Slackを使っていると、 登録済のパスワードの入力を求められる画面で、スマホキーボードでのパスワード入力を面倒に思う人、もしくはパスワードが長い人に配慮して、「パスワードを入力する替わり
HipChat のセキュリティに関するお知らせとパスワードリセット | Atlassian Japan 公式ブログ | アトラシアン株式会社
アトラシアンのセキュリティチームは、HipChat サービスにおける不審なアクティビティを発見し、それをブロックしました。この不審なアクティビティにより、ユーザーのごく一部 (2% 未満) の氏名、ユーザー名、メールアドレス、暗号化されたパスワードへの不正アクセスが発生しました。決済情報がアクセスされた形跡は一切確認されていません。 HipChat のパスワードは一方向暗号化 (ハッシュ化・ソルト) されていますが、追加予防措置として、影響を受けた HipChat ユーザーアカウント、および、同電子メールアドレスを共有するすべてのアトラシアンサービスに対して、パスワードのリセットを実行しました。弊社からのお知らせが届いていない場合は、お客様のアカウントに影響はなかったものと考えられます。しかし、こちらで簡単にパスワードの変更が可能です。パスワード再設定の際には、辞書に掲載されている単語を組
パスワードを平文で送ってくるっぽいサイトまとめ
パスワードを平文で送ってくるっぽいサイトまとめ パスワードを平文で送ってくるっぽいサイトをまとめています。サイトと関連ツイートを参照できます。
ひろみちゅ先生曰く「それはもはやパスワードではない」「いっそトークン方式に切り替えてはどうか」
Hiromitsu Takagi @HiromitsuTakagi そもそも「パスワード」とは何か。パスワードとは人が覚えて使うものである。必然的に複数のログインサービスで同じものが使われ得るのが前提となる。故に、管理者さえ利用者パスワードを知り得ないよう技術的対策し、利用者には自由にパスワード設定できるようにするのが当然であった。それが今日、… 2014-12-06 14:57:34 Hiromitsu Takagi @HiromitsuTakagi …今日、幾つもの管理者からパスワード(又はその弱いハッシュ値)が流出する事故が相次ぎ、リスト攻撃が横行したことから、ログインサービス毎に異なるパスワードを付けよとする意見が強まった。管理者が利用者に対して「当サービス専用のパスワードを設定してください」と指示する例も出てきた。… 2014-12-06 15:01:26 Hiromitsu T
OCN利用者はメールソフトのSSL設定をオンにしてください パスワードが漏洩します
Hiromitsu Takagi @HiromitsuTakagi 解説 メール受信には90年代からAPOPプロトコルが使われてきた。これは、パスワードを生で送信せずチャレンジレスポンス方式でMD5ハッシュして送信するもので、ネットワークが盗聴されても大丈夫なものとされてきた。そのため、メール送受信にSSLを使わないのが普通という時代が続いた。 2014-12-09 03:40:07 Hiromitsu Takagi @HiromitsuTakagi 公衆Wi-Fiの普及で盗聴リスクが高まり、メール送受信にもSSLをとの機運が高まり、メールソフト側の対応も済んでいたのに、日本のISPはなかなかSSL化を進めなかった。彼らの言い分は、メールはどのみち暗号化されずに流れるし、パスワードはAPOPで保護されているというものだった。 2014-12-09 03:45:03 Hiromitsu Ta
ログインアラートはパスワード定期的変更の代替となるか
パスワードの定期的的変更には実質的にはあまり意味がないのではないかという議論(疑問)から出発した議論を続けておりますが、こちらなどで表明しているように、パスワードの定期的変更が効果をもつ場合もあります。 そこで、本稿ではパスワードの定期的変更の代替手段としてログインアラートの運用に着目し、ログインアラートの運用がパスワードの定期的変更の代替となるのか、残る課題は何かについて検討します。 パスワード定期的変更の効果まとめ まず前提条件について説明します。ウェブサイトAの利用者xが自身のパスワード voc3at を定期的変更として変更する(voc3atはあくまで例です)場合、これが効果を発揮する条件と効果は、以下と考えられます。条件1と条件2はAND条件です。 条件1: パスワード voc3at が既に漏洩していて、今後悪用される可能性がある 条件2: パスワード漏洩に利用者 x は気づいてお
Facebook、盗まれたパスワードを発見してユーザーに通知
Facebookのシステムではインターネット上に掲載された情報を解析し、Facebookで使われているのと同じ電子メールアドレスとパスワードの組み合わせが見つかった場合はユーザーに通知する。 大手サイトやサービスからユーザーのパスワードなどの情報が流出する事件が相次いでいることに対応して、Facebookは10月18日、インターネット上に掲載された情報を解析し、ユーザーに通知するシステムを開発したと発表した。 相次ぐ情報流出事件では、ユーザーが同じパスワードを複数サイトで使い回していることが原因で、1つのサイトから盗まれたパスワードが別のWebサイトへの不正ログインに使われて、被害が広がることがある。 盗まれた情報はPastebinやGithub、闇サイトなどにまとめて掲載される場合が多い。Facebookのシステムではこうした悪質サイトを監視して、盗まれた情報が掲載されているのが見つかれ
パスワードの定期的変更はパスワードリスト攻撃対策として有効か
パスワードリスト攻撃の対策として、パスワードの定期的変更に意味があるのかという議論があります。私は(利用者側施策としては)実質意味がないと思っていますが、まったく意味がないというわけでもありません。 このエントリでは、パスワードの定期的変更がパスワードリスト攻撃に対してどの程度有効かを検討してみます。 前提条件 パスワードリスト攻撃を以下のように定義します。 別のサイトから漏洩したアカウント情報(ログインIDとパスワードの組み合わせ)の一覧表(パスワードリスト)があり、そのログインIDとパスワードの組をそのまま、攻撃対象に対してログイン試行する攻撃 パスワードの定期的変更の一例として以下の条件を前提とします 利用者は、すべてのサイトのパスワードを90日毎に変更する 利用者はすべてのサイトで同じログインIDを用いている 変更後のパスワードはすべてのサイトで同じとする ※ サイト毎にパスワード
セブンネットショッピングから届いたメールが、すげぇ怖い…!
メールをチェックしていたら、こんなタイトルのメールが届いていました。 Subject: お問い合わせにつきまして え、何か問い合わせたっけ?と思って、差出人を見たら、ドメインは「7netshopping.co.jp」。セブンネットショッピングの企業アカウントからでした。 メールを開いてみてビックリ!! えー、熊本ブログおてもやんの人の問い合わせ結果がなぜか自分のところに!! どういうこと!? セブンネットショッピングの人が、間違えて自分のメールアドレスに送ってきた? それとも熊本ブログの人が、間違えて自分のメールアドレスを記入して問い合わせた? 「先ほどお送りしたファイル」というものが存在しているようで、それは自分のところには届いていません。そのことを考えると、セブンネットショッピング側の送信ミスが疑われます。 セブンネットショッピングと言えば、カード情報漏洩で有名なところです。 セブンネ
パスワード定期的変更の効能について徳丸さんに聞いてみた
高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、今話題のパスワードの定期的変更について、本当のところ効果がないのか、その効能についてご説明いただきます。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。いつもはパスワードの定期的変更にはあまり意味がないと主張していますが、今日はパスワードの定期的変更を擁護する立場なんですね。面白そうです。よろしくお願いします。 高橋: まず問題の整理についてです。IPAより9月3日に『「ID・パスワードのセキュリティ対策促進に関する広告等業務」 係る企画競争 』の仕様書(PDF)が公開されました。その仕様書中の行動喚起を促す対策事例の一つに「ID・パスワードは定期的に変更する」 があったので、セキュリティクラスタが騒ぎ出し、その結果かどうかは分かりませんが、9月9日に同仕様書が改定され、パスワードの定期的変更は対策例から削除されました。一連の議
IPAのセキュリティ対策キャンペーンテーマから「ID・パスワードは定期的に変更する」が消える | スラド セキュリティ
IPA(情報処理推進機構)が、て「ID・パスワードのセキュリティ対策」をテーマとした広告企画コンペを行うようなのだが、「ID・パスワードのセキュリティ対策」の内容が話題になっている(公募要領PDF)。公募の内容は以下の様なもので、セキュリティを啓蒙する広告自体に異論は無いのだが、突っ込まれているのは「ID・パスワードは定期的に変更する」というところだ。 以下の対策事例いずれかを用いて「ID・パスワードのセキュリティ対策」をテーマにした広告展開を企画・実施し、対策実施への行動喚起を促す。(使用する対策事例は複数も可) ・「ID・パスワードは定期的に変更する」 ・「サービスごとに異なるパスワードを設定する」 ・「パスワードはわかりにくい文字列(8 文字以上、記号を含む)を設定する」 Twitter上ではこの「パスワードの定期的な変更」について議論になっていたが(twitterセキュリティネタま
Basic認証とOAuth - Qiita
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
