国土交通省で情報漏えい ID・パスを平文保存していた ダークウェブで発見国土交通省は5月28日、九州にある火山の様子を配信する「溶岩ドーム情報配信システム」の登録者情報が流出したとして謝罪した。NTTセキュリティ・ジャパンの調査によると、流出したデータには登録者のIDと平文パスワード、名前、役職、メールアドレスなどが含まれていたという。
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】
ドコモとソフトバンク、パスワードをハッシュ化せず保持 「パスワードを忘れた」からユーザーへ開示【追記あり】 LINEMOがパスワードを平文保持している――そんな報告がTwitterで上げられている。ITmedia NEWS編集部で確認したところ、LINEMOの他にドコモとahamo、ソフトバンク、Y!mobileの会員サービスでも、ユーザーに対してパスワードを平文で提示する機能を持っていることが分かった。事業者側によるパスワードの平文保持は、不正アクセスなどで情報漏えいが起きた際のリスクになる可能性がある。 【編集履歴:2022年3月16日午後2時 ドコモへの追加取材に伴い、タイトルとドコモ引用部の記述を変更し、追記を行いました】 【編集履歴:2022年3月16日午後7時30分 ソフトバンクへの追加取材に伴い、ソフトバンク引用部の記述を変更し、追記を行いました】
e革新パスワードのロック回数は?何桁?初期化で変更できない?
e革新にログインをするためには基本的には、 企業コード ユーザーID パスワード の3つを入力する必要があります。 ただ法人によっては独自のe革新ログイン画面が用意されていて、企業コードの入力を省略できるケースもあるようです。 e革新ではもしパスワードを忘れてしまった場合には企業コード、ユーザーIDからパスワードを確認できるフォームが用意されています。 あらかじめ自分で登録した質問に回答することによって、登録しているメールアドレスにパスワード通知メールを送信し、自分のパスワードを確認できます。 一度ロックされると各企業のe革新担当者経由じゃなければパスワードロックの解除依頼を出せない場合もあるので、上司もしくはe革新担当者にパスワードがロックされた場合の相談をしてみるのが良いでしょう。 ※メールアドレスを登録していない場合にはパスワードの再設定も出来ません。 なお、初期化後は初期パスワード
ヤフー株式会社様に「秘密の質問と回答」に関して要望します
拝啓、貴社ますますご清栄のこととお慶び申し上げます。日頃は格別のご高配を賜り、あつくお礼申し上げます。さて、さっそくですが、表題の件についてお願いがあり、ご連絡差し上げました。 私は東京都品川区在住の貴社サービスの一ユーザーです。Yahoo! IDの登録が2001年3月、Yahoo!プレミアムは2003年 2月からですので、十年来のユーザーと言うことになり、現在はヤフオクやYahoo! Boxを利用しております。どうぞ、お見知りおきのほど、よろしくお願いいたします。 さて、ご連絡差し上げたのは、表題に述べたように「秘密の質問と回答」に関する要望です。と言いますのは、報道などで「秘密の質問と回答」が漏洩したことを知ったからです。 ヤフーは23日、今月16日に不正アクセスで流出した「ヤフージャパン」のID2200万件のうち、約149万件についてはパスワードと、パスワード変更のために使う「秘密の
生年月日をパスワードにするよう指定 子育て支援サイトが話題 パスに認証以外の役割があった
神奈川県の子育て支援サイト「かながわ子育て応援パスポート」が、利用登録の際に子供の生年月日をパスワードにするよう指定していることがTwitterで話題になっている。指摘を受け、県は仕様を修正する予定。 かながわ子育て応援パスポートは、小学校6年生以下の子供を持つ子育て世代向けに、特典やサービス、支援施設などの情報を発信しているWebサイト。利用登録時にパスワードの設定画面で「最年少のお子さんの生年月日を半角数字で入力してください」と求めている。生年月日の書式になっていない場合は登録できず、設定後の変更はできない。 パスワードに認証以外の役割 県によると、パスワードに生年月日を指定しているのは、同サイトのパスワードがアカウント認証の他に、生年月日を確認する役割も持っているからだという。同サイトのサービスは12歳になって最初の3月31日以降に使えなくなるが、有効期限を判定するためにパスワードを
Twitter、パスワードが平文でログに記録されていたことを発見、全ユーザーにパスワードの変更を促す | スラド セキュリティ
Twitterは3日、パスワード設定時のログにパスワードが平文で保存されていることを発見したとして、全ユーザーにパスワードの変更を促した(Twitter公式ブログの記事、 ITmedia Newsの記事)。 Twitterではパスワードをbcrypt関数でハッシュ化しているが、ハッシュ化前のパスワードが内部ログに平文で記録される不具合を発見したという。パスワードが不正に使用された兆候はみられないとのこと。 データストアでは暗号化していてもログに平文で残っているのは、セキュリティあるある事例だ。 Twitterはログに記録された平文パスワードをすべて削除しているが、念のため同じパスワードを使用しているすべてのWebサービスでパスワードを変更することや、強いパスワードを設定すること、2要素認証を有効化すること、パスワードマネージャーを使用してWebサービスごとに異なる強いパスワードを使えるよう
7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況(会見後追記)
本サイトはアフィリエイト広告を利用しています。なお本記載は景品表示法改正に伴うASPからの要請に基づく表記であり、本サイトのポリシーとして、依頼された記事などは別途記載を実施しています。 追記:酷い記者会見と無意味な対策今日の14時に記者会見が行われましたが、もう開いた口が塞がらないどころかため息が出るレベルの酷い記者会見でした。 二段階認証をまともに理解していない?チャージと登録を停止するが、決済は停止しない補償はするとは言ったが、方法などはまだ未確定もうさっさとサービス終了したほうが今後のためじゃないですかね。 パスワード再発行の件は対策した(風にみせかけ)何人か指摘している人も居ますけども、あまり詳しく言うのは問題になりかねないので言いませんが、下記に記載のあるパスワード再発行の件は内部の処理は結局対策されてません。それだけは言っておきましょう。 なので、下記の会員IDの変更などは早
「最強パスワード選手権」開催 最優秀パスは来年発表
ネットセキュリティのスマンテック社は22日、世界で最も安全性が高いパスワードを決める「第1回最強パスワード選手権」を開催すると発表した。優勝者には10万ドル(約1080万円)の賞金が贈られる。 ネットセキュリティ企業各社は例年、安全意識の啓発を目的に、その年の「最悪パスワードトップ10」をランキング形式で発表しているが、「123456」や「password」など安全性を犠牲にして、覚えやすさを優先させたパスワードが毎年上位を占め続ける傾向に変化は見られない。 このような注意喚起にもかかわらず、パスワード変更が進まない現状を受け、スマンテック社では、覚えやすさと安全性を兼ね備えた「最強のパスワード」を見つけるため、「最強パスワード選手権」を開催することを決めた。 選手権の目的は「人間らしさを残した最強のパスワード」を見つけ出すことだ。 最も安全なパスワードは「D9TYKA4W」のように、機械
Twitter、全3.3億人のユーザーにパスワード変更勧める告知 社内バグ発見で
米Twitterは5月2日(現地時間)、全ユーザーに対し、Twitterへのログインに使っているパスワードを変更するよう求める告知を送ったと発表した。社内システムのバグで、パスワードをプレーンテキストで保存していたことが判明したためとしている。 社内調査の結果、パスワードが外部に流出したり悪用された可能性はないが、念のため全ユーザーに通知したとしている。ジャック・ドーシーCEOは「対策済み」だとツイートした。 パラグ・アグラワルCTO(最高技術責任者)は公式ブログで、同社ではユーザーがパスワードを入力する際、「bcrypt」という強力なアルゴリズムを使ってハッシュ化しているが、今回見つかったバグで、ハッシュ化処理の前にログにプレーンテキストで保存されていたという。 何人分のパスワードがテキストとして保存されていたのか、それがいつ頃からのことなのかについては明らかにしていない。 米Reute
パスワードに依存しない認証「WebAuthn」をChrome/Firefox/Edgeが実装開始、W3Cが標準化。Webはパスワードに依存しないより安全で便利なものへ
Google、Mozilla、マイクロソフトが「WebAuthn」の実装を開始。これによって「FIDO2」の普及が期待され、Webブラウザから指紋認証や顔認証などで簡単にWebサイトへのログインや支払いの承認といった操作が実現されそうだ。 多くのWebアプリケーションは、ユーザーの認証にユーザー名とパスワードの組み合わせを用いています。 しかしユーザー名とパスワードの組合わせを用いる方法にはさまざまな問題が指摘されています。身近なところでは、安全なパスワードを生成することの手間や、安全性を高めるためにパスワードの使い回しを避けようとした結果発生する多数のパスワードを管理することの手間などがあげられます。 そしてこうしたパスワードの不便さが結果としてパスワードの使い回しを引き起こし、いずれかのサイトで万が一パスワードが流出した場合にはそれを基にしたリスト型攻撃が有効になってしまう、などの状況
「ブラウザが覚えた全パスワードを出力する」chromeの新機能 その利便性とリスク
「ブラウザが覚えた全パスワードを出力する」chromeの新機能 その利便性とリスク:半径300メートルのIT(2/2 ページ) なぜ、こんなに面倒なのでしょうか。それは作成されたCSVファイルを見ると分かります。そこには、あなたがChromeに覚えさせた(そして既に忘れているであろう)URL、ID、パスワードのセットがそのまま記載されています。もし、このテキストが流出しようものなら、あなたのインターネット上の人格から資産、評判まで、全て奪われたといえるほどの、重要なファイルです。 そのため、作成されたCSVファイルは、不要になったタイミングですぐに消去し、さらにこのファイルを他人に奪われないよう心掛けてください。この機能は、「むやみに使うと危険なもの」ともいえるのです。 この機能が教えてくれること この「パスワードを簡単にエクスポートできる」機能は、いくつかの“教訓”を教えてくれます。その
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
暗証番号、自分や妻や子どもの誕生日もNG 有効な語呂合わせとは - ライブドアニュース