パスワードは何桁以上にするのが良いですか?
回答: 巷の言説では、12文字以上にしろとか、いや12文字でも足りないとか、さまざまなことが言われていますよね。ちょっと計算をしてみましようか。 あえて短い文字列として、ウェブサイトに6文字のパスワードを設定したとします。短いですね。短い代わりに、英字(大文字と小文字を区別)と数字を混ぜたランダムなパスワードをつけます。例えば j6E2Dt のように。 ランダムなので、これを破ろうとすると、ブルートフォースアタックしかありません。総当たりですね。英数字6文字のパスワードは全部で何通りあるかというと、以下の式で求められます。 (26 + 26 + 10)^6 = 62^6 = 568...
平文メールにパスワードを書いて送ってくる糞企業一覧
ぼく就活生。リクナビからJR東海にプレエントリーして驚いた。 ■■■JR東海からID・パスワードのお知らせ■■■ あのに 増田 様 ◆あのに 増田さんのID・パスワード◆ ID:12345678 パスワード:mypassword こんにちは!JR東海人事部です。 このたびは当社にプレエントリーを行って頂きまして、 誠にありがとうございました。 こんなメールが届いたの。 なにに驚いたって?登録画面で入力したパスワードが平文メールに書かれてたってとこ。 「mypassword」って書いてるところにぼくの大事なパスワードが書かれてたの。Gmailでも使ってる大切なやつ。 同じパスワード使ってるぼくも相当間抜けなんだけど、いまの時代いくらなんでも平文メールにパスワードはないでしょ。 とっても怖かったのでJR東海とGmailのパスワードを変更して寝ました。 恐怖はこれで終わらずに2ヶ月後。こんなメー
パスワードが平文で送られてきた - Qiita
アプリの会員登録したら、登録したパスワードが平文で送られてきました アプリ名は本文内から分かるので、このメールをゲットできたらアプリをインストールしてログインすることが出来てしまいます。生年月日や住所、メールアドレスなどが見ることができます。。 駄目なんだよ。 って警報を鳴らしたい。 アプリの種類はお薬手帳で、薬局から薬と一緒に貰うQRコードを読み取って履歴を管理できるものです。ちょっと見たところ薬関連のアプリは沢山あったので流行ってるんですかね。 勝手な推測ですが、恐らくアプリの所有者はアプリやセキュリティの知識はなく、開発会社が仕様を決めたのかなと思いますが、酷すぎますね。実装したプログラマーも指摘するべきでしょう。 ↑ 知らない人に届いてしまうことを想定してるのになぜ気づかない! きっとデータベースにも平文のまま保存されているはずです。 きっとこんな感じ +-----------+-
ランダムな文字列っぽい「ji32k7au4a83」というパスワードが大量のユーザーに使われていた理由とは?
by www.shopcatalog.com ユーザー認証などに使用するパスワードは外部から推測しにくいものが推奨されており、意味の通らない英字や数字の組み合わせはほかの人とパスワードがかぶりにくく、セキュリティが高いと思われがちです。しかし、エンジニアのRobert Ou氏は「ji32k7au4a83」という一見意味の通らないパスワードが多くの人に使われていることを発見し、「なぜこのようなランダムに見える文字列がたくさんの人に使われているのか?」という謎についてTwitterで発信しました。 Fun thing I learned today regarding secure passwords: the password "ji32k7au4a83" looks like it'd be decently secure, right? But if you check e.g. HIB
The 773 Million Record "Collection #1" Data Breach
Many people will land on this page after learning that their email address has appeared in a data breach I've called "Collection #1". Most of them won't have a tech background or be familiar with the concept of credential stuffing so I'm going to write this post for the masses and link out to more detailed material for those who want to go deeper. Let's start with the raw numbers because that's th
Have I Been Pwned: Pwned Passwords
Password reuse and credential stuffing Password reuse is normal. It's extremely risky, but it's so common because it's easy and people aren't aware of the potential impact. Attacks such as credential stuffing take advantage of reused credentials by automating login attempts against systems using known emails and password pairs. NIST's guidance: check passwords against those obtained from previous
さらば、パスワード Slackも採用したパスワードレス認証とは
さらば、パスワード Slackも採用したパスワードレス認証とは:半径300メートルのIT(1/2 ページ) セキュリティがテーマのこのコラムで、最もよく出てくる話題といえば、「パスワード」。管理する側もされる側も悩みがつきないのがこの問題です。 パスワードは、“あなたがあなたであることを証明するための仕組み”であり、漏れると「なりすまし」の危険にさらされてしまいます。これがお金に直結する金融関連のものだったり、SNSの不正な投稿によって「炎上」したりするようなものだったら目も当てられません。最悪の場合、生活を脅かされることだってあるでしょう。パスワードはそれほど身近で重要なものなのです。 そんなパスワードですが、ずいぶん前から「この仕組みを変えよう」という試みが始まっています。 これまでは、強いパスワードというと、“1つ以上の記号が含まれ、大文字小文字が混在し、数字も入っているもの”という
「小文字に大文字、数字や特殊文字」などを使うパスワード規則は役立たずだった!?
「小文字に大文字、数字や特殊文字」などを使うパスワード規則は役立たずだった!?2017.08.15 18:4211,209 たもり パスワードを考えるときのあの苦労は一体…。 「小文字に大文字、数字や特殊文字などを含める」というのは、言わずとしれたパスワードを作るときの絶対的なルールですよね。長い間、この規則はあらゆる場面でパスワード設定の基本となっていました。しかし、15年前にこのスタンダードを考案した男性が今になってこのルールは失敗だったと認めています。そして、とても申し訳なく思っているとか。 問題の人物の名前は、ビル・バーさん。アメリカ国立標準技術研究所(NIST)の元マネージャーです。2003年にバー氏は、「NISTスペシャルパブリケーション800-63 別表A」と呼ばれる、安全なパスワードを作る方法についての8ページに及ぶガイドラインを起草しました。これが、メールアカウントからオ
脳波を解析してパスワードを推測することが可能に?
The Independentに7月1日(米国時間)に掲載された記事「Hackers can use brainwave signals to steal passwords|The Independent」が、計測した脳波からパスワードやPINコードを推測することが可能だという米国の大学の研究者の取り組み伝えた。こうした技術はハッカーによってパスワードやPINコードを窃取する技術として悪用されるおそれがあると指摘している。 研究者は、脳波を測定するセンサーを備えたヘッドセット「EEGヘッドセット」を用いて、実験を実施。EEGヘッドセットは医療目的での利用や研究開発以外にもヘルスケアやゲームなどさまざまなシーンで活用の模索が続けられている。中でも、ゲームはEEGヘッドセットの活用が期待できる分野の1つで、The Independentの記事もゲームを例に挙げてEEGヘッドセット経由でパスワ
パスワードは「脳波」で推測できることが判明
悪意あるソフトウェアが脳波を読み取り、パスワードや個人データを盗み出すようになるかもしれない。 by Tom Simonite2017.05.15 155 62 12 0 「エポックプラス(Epoc+)」は不満や興奮といった感情を検知して脳内の思考だけでロボットを操作できると謳う、800ドルの脳波検出用ヘッドセットだ。 アラバマ大学バーミンガム校のニテシュ・サクセナ准教授は、脳波をモニタリングするソフトウェアによって、暗証番号やパスワードを推測できることを明らかにした。脳インターフェイス・セキュリティの分野はまだ小さいながらも、研究者の間からは限定的な機能しかない現在のヘッドセットですらセキュリティの改善が必要だ、との報告が相次いでいる。 サクセナ准教授は、脳インターフェイスを通じて個人データが盗まれる可能性について、「現在のデバイスにもリスクがありますが、今後、デバイスが発達するにつれて
定期的なパスワード変更の効果有無まとめ - pochi-pの絵日記
自由研究の季節 夏です。今年もまた自由研究の季節がやってきました。何年か前にパスワード定期変更云々という夏休みの自由研究をやりました。このエントリは総当たりに対する防御の視点で書かれたものです。 今回は「総当たり対策」以外の視点でパスワードの定期的変更の効果を検証します。 このまとめは気が向いたらテキトーに項目を追加&編集していきます。まだまだ完成版ではありません。 大前提 ・ユーザーが自主的に定期的変更するのもいいが、パスワードに関してはまず設定可能文字数を大きくする・使用可能文字種を増やすのが最初の一歩です。 ・サイト側がユーザーに定期的変更を強制すると、ユーザーは結果的に強度の弱いパスワードを使いがちなので強制は良くない。*1 ・サイト側での保存方法には必ずハッシュ化+ソルト+ストレッチングを設け、秘密の質問の様なゴミは使わない事。 ・変更タイミングの基本は とします。その上で例外的
ロシア最大のSNSがハッキングされて1億ものパスワードが暗号化されずに平文で流出
By Automobile Italia ロシア最大のソーシャルネットワーキングサービスである「VK」がハッキングされ、1億件分のアカウントのパスワードが「暗号化されていないクリアテキストの状態で流出」していることが発覚しました。 LeakedSource Analysis of VK.com Hack https://www.leakedsource.com/blog/vk VK: 100mn passes stolen from Russia's biggest social network https://thestack.com/security/2016/06/06/vk-100-million-clear-text-passwords-stolen/ ロシアで人気の高いSNSであるVKには2億8000万を超えるユーザーが存在するそうですが、その3分の1以上となる1億54万493
Tumblrから盗まれたユーザー情報、その数6500万件だったことが判明
Tumblrから盗まれたユーザー情報、その数6500万件だったことが判明2016.05.31 13:23 そうこ やっちまった。 今月12日、Tumblrが2013年のデータに関して第三者からの不正アクセスがあったことを明かしたことで、一部ユーザーのメールアドレスとパスワードが流出したことがわかりました。盗まれたのは何件で、何人のユーザーが影響を受けるのかについては明言されていませんでした。が、どうやら、その数6500万件だそうで。 ハッキングによって流出した情報のコピーを入手し調査したのは、セキュリティリサーチャーのTroy Huntさん。ネタ元のMotherboardにて、流出したメールアドレスとパスワードはあわせて、6546万9298件だったことを明かしました。一方で、パスワードはハッシュ化/ソルト化して保護されていたといいます。この点は、データを抜いたと自称するハッカー「Peace
世界で最もプライバシーを気にしているのに、世界で最もパスワードを変更しない日本人:成迫剛志の『ICT幸福論』:オルタナティブ・ブログ
先週開催したデザイン思考関連のイベントでご講演いただいた中に、日本の消費者のプライバシーとセキュリティ感覚に関する興味深い調査結果があり、出典元の EMC Privacy Index 2014 を見てみました。 この「EMC Privacy Index」は、世界15の国と地域、15,000人の消費者を対象に、オンライン プライバシーに対する消費者の意識と動向を調査したものです。 他にも様々な調査項目(質問項目)があるのですが、日本人の意識に焦点をあててピックアップしてみるとその極端さぶりが浮き彫りとなりました。 調査対象の15か国中、もっともプライバシーに関して保守的であり、情報漏えいをもっとも恐れている国民であり、また政府の対応に関しても15か国中でもっとも不満足に思っているのです。 しかしながら、個人個人のプライバシー対策に関しては、15か国中もっとも対策を行っていないという調査結果と
LastPassでさえも盗まれうる – LastPassのセキュリティを探る | POSTD
私は Alberto Garcia と一緒に、アムステルダムで開かれたBlackhatで “Even the LastPass Will be Stolen, Deal with It!(LastPassでさえも盗まれるうのです。それでも我慢しましょう)″ という調査を口頭発表してきました。その会議は大成功で、聴衆から素晴らしいフィードバックを得ることができました。たくさんの人からビデオやスライドなどの資料が欲しいと言われたので、講演の詳細を記した記事を書くことは価値があると考えました。 動機 Albertoのチームの1つがペネトレーションテストをした時、彼は複数のコンピュータへのアクセスに成功し、その全てがLastPassを参照するファイルを持っていることを発見しました。彼は私のところへ来て、LastPassの仕組みをチェックし、もし可能ならLastPassの認証情報を盗んでみたら面白い
米ヤフー、パスワード廃止 新サービス「アカウント・キー」発表
10月15日、米検索大手ヤフーは、「ヤフー・アカウント・キー」と呼ばれる新サービスを開始すると発表した。写真はロゴ、スイスで2012年12月撮影(2015年 ロイター/Denis Balibouse) [サンフランシスコ 15日 ロイター] - 米検索大手ヤフーは15日、ヤフーメールの利用者がアップルの基本ソフトiOSやグーグルのアンドロイド上で既存のパスワードの代わりにスマートフォンを使って本人認証を行う「ヤフー・アカウント・キー」と呼ばれる新サービスを開始すると発表した。 ヤフー・アカウント・キーに登録したユーザーは、ヤフーメールにアクセスする際にパスワードを入力する代わりにスマホに送られてくるメッセージに書かれたコードを利用してサインイン(ログイン)する。 サインインの際にユーザーは「はい」か「いいえ」を選ぶことで、アカウントに対する正規の認証作業であることを示すか、不正なアクセスと
お知らせ : 京都新聞
File Not Found. 該当ページが見つかりません。URLをご確認下さい。 お知らせ 事件・事故のジャンルを除き、過去6年分の主な記事は、インターネットの会員制データベース・サービスの「京都新聞データベース plus 日経テレコン」(http://telecom.nikkei.co.jp/public/guide/kyoto/)もしくは「日経テレコン」(本社・東京 http://telecom.nikkei.co.jp/)、「ジー・サーチ」(本社・東京、 http://www.gsh.co.jp)のいずれでも見ることができます。また、登録したジャンルの記事を毎日、ネット経由で会員に届ける会員制データベース・サービス「スカラコミュニケーションズ」(本社・東京、http://scala-com.jp/brain/) も利用できます。閲読はともに有料です。 購読申し込みは下記のページから
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティの都市伝説を暴く
【やじうまWatch】「パスワードの定期変更をユーザーに求めるべきではない」……NISTの文書でついに明示へ
他人のFacebookに不正ログインして逮捕の光通信社員、持っていた数百人分のID・パスワード、いったいどこから入手? 