タグ

関連タグで絞り込む (20)

タグの絞り込みを解除

パスワードに関するrin51のブックマーク (17)

  • ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

    pictBLandとpictSQUAREに対する不正アクセスがあり、パスワードがソルトなしのMD5ハッシュで保存されていたことが話題になっています。 2023年8月16日に外部のフォーラムにpictSQUAREより窃取した情報と主張するデータ販売の取引を持ち掛ける投稿が行われた(中略)パスワードはMD5によるハッシュ化は行われているもののソルト付与は行われていなかったため、単純なパスワードが使用されていた29万4512件は元の文字列が判明していると投稿。(それ以外の26万8172件はまだMD5ハッシュ化されたままと説明。) 不正アクセスによるpictBLand、pictSQUAREの情報流出の可能性についてまとめてみた - piyolog より引用 これに関連してMD5ハッシュやソルトに関するツイート(post)を観察したところ、どうもソルトの理解が間違っている方が多いような気がしました。

    ソルト付きハッシュのソルトはどこに保存するのが一般的か - Qiita

  • 日立グループにおけるパスワード付きZIPファイル添付メール(通称PPAP)の利用廃止に関するお知らせ:日立

    2021年10月8日 株式会社日立製作所 日立グループは、2021年12月13日以降のすべてのメール送受信において、パスワード付きZIPファイルの利用を廃止させていただくことを、お知らせいたします。 パスワード付きZIPファイルが添付されたメールは日立グループにて送受信されず、受信者/送信者の日立グループ従業員に対して、配送を抑止した旨がメールで通知されることとなります。 お客さまおよびお取引先さまにおかれましては、日立グループとのデータの授受の方法につきまして、適宜担当者にご相談頂けますと幸いです。 弊社施策に対するご理解とご協力を賜りますよう、何卒よろしくお願いいたします。 背景 従来、通称PPAP*は、多くの人が利用可能で通信経路上の暗号化を保証する方式として日立グループにおいても利用されてきました。しかし、すでに暗号方式としてセキュリティを担保できるものでなく、昨今はパスワード付き

  • 2.3 シャドウファイル /etc/shadow の構造

    シャドウファイルは、ユーザのパスワードを暗号化して格納するファイルです。このファイルは、一般のユーザからは読めず、スーパーユーザしか読むことができません。 このような面倒な2重化をしたのは、 パスワードファイルを読めなくすると、一般ユーザがログインできなくなってしまう。 パスワードファイルを公開すると、最近の高性能なコンピュータを使うことで、暗号を解読することができてしまう。 という問題があるからです。 このファイルの内容例を掲げます。 root:/F4Dujeq2Pp6k:10337:::::: root2:xHNuzvZ9XXhYA:10440:::::: daemon:NP:6445:::::: bin:NP:6445:::::: sys:NP:6445:::::: adm:NP:6445:::::: lp:NP:6445:::::: smtp:NP:6445:::::: uucp:

  • PAMによる認証の仕組みを調べてみた - GeekFactory

    /etc/pam.d/system-authが気になって夜も眠れないので調べてみました。この設定ファイルはOS全体の認証*1を司るものです。コンソールでログインするとき、SSHで接続するとき、su(switch user)するときなど、多くの場面で利用されます。 /etc/pam.d以下にあるファイルは下記の書式になっています。 タイプ コントロールフラグ モジュール [オプション] タイプは4種類あります。 auth 認証を許可するかどうかです。ユーザが物であるかを、パスワードなどの入力によって確認をします。また認証方法を変更することも可能です。 account パスワードの有効期間や認証時の時間などでアカウントの有効性をチェックします。authとセットで使用されます。 password 認証方法を変更するメカニズムを提供します。通常はパスワードの設定/変更する場合です。 sessio

    PAMによる認証の仕組みを調べてみた - GeekFactory

  • SASLの設定 - Qiita

    Simple Authentication and Security Layerの略。 コネクション型のプロトコルに対して認証機能を提供する。 Base64 64種類の印字可能な英数字のみを用いるエンコード方式 MIMEによって規定されている 7ビットのデータしか扱うことの出来ない電子メールにて広く利用されている # Base64でエンコードしたユーザー名とパスワードを生成 $ printf "{user name}@{my domain}\0{user name}@{my domain}\0{password}" | openssl base64 -e

    SASLの設定 - Qiita

  • kusanoさん@がんばらない on Twitter: "「Twitter認証を使ったサービス、Twitterが終了したらどうしよう」 「お前のそのサービス、Twitterよりも長生きするのか?」 という話があるけれど、利用者が凍結される可能性があるのか。アカウント移行用パスワードとかあ… https://t.co/gTuVUesMWJ"

    Twitter認証を使ったサービス、Twitterが終了したらどうしよう」 「お前のそのサービス、Twitterよりも長生きするのか?」 という話があるけれど、利用者が凍結される可能性があるのか。アカウント移行用パスワードとかあ… https://t.co/gTuVUesMWJ

    kusanoさん@がんばらない on Twitter: "「Twitter認証を使ったサービス、Twitterが終了したらどうしよう」 「お前のそのサービス、Twitterよりも長生きするのか?」 という話があるけれど、利用者が凍結される可能性があるのか。アカウント移行用パスワードとかあ… https://t.co/gTuVUesMWJ"

  • さらば、パスワード Slackも採用したパスワードレス認証とは

    さらば、パスワード Slackも採用したパスワードレス認証とは:半径300メートルのIT(1/2 ページ) セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”という

    さらば、パスワード Slackも採用したパスワードレス認証とは

  • まだパスワードで消耗してるの? : 続・ユビキタスの街角

    「パスワードを忘れた」みたいな話を聞くたびに「アホじゃなかろうか?」と感じてしまう。 パスワード認証の最大の問題は複雑なパスワードを覚えておくのが難しいことである。 新たに覚えたことを忘れてしまうのは人間にとってあたりまえのことであって、 新しく決めたパスワードを忘れてしまうのはごく自然なことである。 苦労して考えた文字列は、一時的に覚えておくことができたとしても 時間がたつと忘れてしまうに決まっている。 忘れないための工夫を行なわず、 パスワードを覚えておこうと努力したり、 新しく決めたパスワードを将来覚えていられると思うのは愚の骨頂だと言わざるをえない。 新しく考えたパスワードを頭で覚えておくことが難しいのであれば、それをどこかに記録しておけばいいかもしれない。 パスワード文字列をそのまま書いておくのは危険なので、パスワードを暗号化して安全に記録しておくための 「パスワードマネージャ」

    まだパスワードで消耗してるの? : 続・ユビキタスの街角

  • パスワードの定期的変更について徳丸さんに聞いてみた(1)

    高橋: こんにちは、高橋です。今日は徳丸さんをお招きして、パスワードの定期的変更問題についてお話を伺います。徳丸さん、よろしくお願いします。 徳丸: 徳丸です。よろしくお願いします。 高橋: まず、お伺いしたいことですが、パスワードを定期的に変更すべしという根拠には、どのようなものがあるのでしょうか? 徳丸: 大きく分けて2つの理由が挙げられていると思います。一つは、パスワードを定期的に変更すると、パスワードを破って侵入する攻撃の予防になるというもの、すなわち事前の予防策です。もう一つは、パスワードが漏洩した際に、被害を軽減できるというもので、事後の緩和策ということですね。 高橋: もう少し詳しくお願いします。 徳丸: まず、「事前」の方ですが、オンライン攻撃とオフライン攻撃があります。 高橋: オンライン攻撃とはどのようなものでしょうか? 徳丸: オンライン攻撃は、ネット経由でパスワード

    rin51
    rin51 2013/08/05
    id:stella_nf 川上稔(ホライゾンとかの著者)がたまにブログでやってましたが、最初に誰がやり始めたのかは把握してないです
    リンク

  • Jenkins パスワードのリセット方法 - エンジニアきまぐれTips

    Jenkins ユーザーデータベースのアカウントの削除やパスワードリセットは、開発者のページの左メニューに「設定」「削除」のリンクがあるのでこちらから変更できた。 設定をミスしてどうにもならなくなった場合、セキュリティ機能を停止するには、 https://wiki.jenkins-ci.org/display/JA/Disable+security に書いてある通りに <useSecurity> を false にしてもダメで…。 <authroizationStrategy>や<securityRealm>をコメントアウトすることで、無効化できた。 Ubuntu のパッケージからインストールした場合、/var/lib/jenkins/config.xml が設定ファイル。

    Jenkins パスワードのリセット方法 - エンジニアきまぐれTips

  • JenkinsでAdmin権限を持つユーザのパスワードを全て忘れた時の復旧方法 - kk_Atakaの日記

    あらすじ ローカルで動かしているJenkinsでAdministrator権限を持っているユーザ、およびそのパスワードを忘れたので、色々な事ができなくなった また、Administrator権限を持つユーザがいない = Jenkinsの管理画面が開けなくなった事で権限復旧もできなくなった 環境 Windows XP Jenkins 1.470 ユーザ情報: Jenkinsのユーザデータベース 権限管理: 行列による権限設定 ローカルで運用している JenkinsはWindowsサービスに登録している 原因と解決手順 気づき プラグインを入れようと思ったら、なんでかJenkinsの管理リンクが見当たらなくなった 管理画面のアドレスは /manage なので直にアクセスしてみる Firefoxだとこんなエラーが出た*1 ! 内容符号化 (Content-Encoding) に問題があります 不

    JenkinsでAdmin権限を持つユーザのパスワードを全て忘れた時の復旧方法 - kk_Atakaの日記

  • text.ssig33.com - ソーシャルエンジニアリングを利用したクラックへの防衛法

    ソーシャルエンジニアリングを利用したクラックへの防衛法 王道と言えるものはあまりないですが、以下二点を気をつければ防御力はそこそこ上がると思います。 1. サイト毎にログインメールアドレスを変える 一般的にパスワードをサイト毎に変更すべしというのは言われています。 そしてパスワードを忘れた際にはパスワードリマインダにサービスに登録しているメールアドレスを記入すると、リセット用のアドレスが該当メールアドレスに届くという流れになります。ここまでは一般常識です。 つまりメールアドレスが何らかの方法でクラックされいた場合、クラッカーはアカウントを乗っ取ることができます。 しかしながら、サイトに登録されているメールアドレスが分からない場合、当然上記のクラックはおこなえません。ですから、サイト毎に登録するメールアドレスを変更すればよいということになります。 具体的にはサイトに登録されるメールアドレス

  • 情報流出でわかった「最悪なパスワード」たち

  • 防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する

    防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する 完全な防御は困難、機密ファイルを奪取されても情報が漏洩しない工夫が重要 以前からお付き合いのある企業のシステム管理者から、「三菱重工が国内11拠点でウイルス感染したと公表している。原因は、標的型のサイバー攻撃とされているが、今回の標的型攻撃の手口は何だったのか。攻撃を受けても被害を受けないようにするための具体的な対策はあるのか?」と相談を受けました。 トレンドマイクロのブログ「Malware Blog」には、9月19日に「Japan, US Defense Industries Among Targeted Entities in Latest Attack」というエントリーが投稿されました。 同じ日に三菱重工業がウイルス感染を公表していることから、Malware Blogのエントリーにある企業の中に三菱重工が含まれている可能性

    防衛産業企業を狙った標的型攻撃が発覚、「多層防御」を考察する

  • パスワードの定期変更という“不自然なルール”

    パスワードの使い回しの危険性:ペネトレテストの現場から 過去の記事でも触れたが、攻撃者がWindowsホストへの侵入に成功すると、さらに侵入範囲を広げるためにホスト内の情報を収集する。侵入を広げる手掛かりとなるのが「パスワードハッシュ」だ。 攻撃者がパスワードハッシュを取得した際に行うことは、パスワードを「John The Ripper」や「RainbowCrack」ローカルでクラックすることと、それ以外にもう1つある。この記事を読まれている方はご存じだろうか、「Pass-the-hash」という手法を。 「Pass-the-hash」とは、来の認証で使うパスワードではなく、パスワードハッシュを用いて認証を行う手法のことだ。こう説明していけば、勘のよい方ならばおおよそ見当が付くだろう。そう、パスワードの使い回しを行っている場合、一度何かしらの方法によりパスワードハッシュを取得してしまえば

    パスワードの定期変更という“不自然なルール”
    rin51
    rin51 2011/09/30
    > 「Pass-the-hash」とは、本来の認証で使うパスワードではなく、パスワードハッシュを用いて認証を行う手法のことだ
    リンク

  • お安い GPU で強固なパスワードも用無しに | スラド セキュリティ

    大文字小文字に数字をまぶしたパスワードはブルートフォースアタックに対して強固であると言えるだろうか。強固であるとお考えの方はご再考を (ZDNet の記事、家 /. 記事より) 。 PC Pro Blog の記事にて、GPU を用いたパスワードクラックツール ighashgpu とお安い GPU (1 〜 2 万円で購入できる RADEON HD 5770) の組み合わせで総当たり試行を行った結果が掲載されている。CPU を用いた場合、1 秒間に 980 万パターンの試行が可能であり、5 文字の NTLM ログインパスワードは 24 秒で突破された。一方 GPU では 1 秒間に 33 億パターンほど。パスワードを 6 文字にすると CPU では突破に 90 分ほど要したが、GPU ではたったの 4 秒。7 文字になると CPU では 4 日間かかったが、GPU では 17.5 秒で突破

  • yebo blog: パスワードのマスキングはやめるべきだ

    2009/06/29 パスワードのマスキングはやめるべきだ スラッシュドットにも出ていたが、ウェブのユーザビリティ(使い易さ)に関する第一人者ヤコブ・ニールセン氏が「パスワードのマスキングはセキュリティを全く向上させない、むしろログイン失敗で負担が掛かるだけだ」と自身のサイトのコラム Alertbox (日語訳) で述べている。入力時にパスワードがマスクされると誤入力が増えるだけでなく、入力内容を確認できないことからユーザは不安を覚え、必要以上にシンプルなパスワードを設定したり、どこかのファイルからコピペするなどして、逆にセキュリティを低下させるとのこと。ブルース・シュナイアやSANSのブログでもニールセン氏の論に概ね賛成している。シュナイアー氏が言うようにショルダーハッキング (肩越しで入力を盗む) なんて一般的なことではない。ま、パスワードには多くの神話 (定期的にパスワードを変えろ

  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.