@wikiで全ユーザーの管理情報が流出 | スラド セキュリティ@wikiのユーザー全員の管理情報およびデータが流出したそうだ(障害情報)。 現在、全ユーザーのパスワードを強制的にリセットしており、再発行手続きを行うようユーザーに呼びかけている。流出内容は、ユーザー名、暗号化されたパスワード、メールアドレス、登録時のIPアドレスとのこと。クレジットカード番号、住所、氏名は管理情報として登録されていないため、流出していないとしている。
三井住友銀行のネットバンキングにおける「数字4桁の暗唱番号」の是非 | スラド セキュリティ
三井住友銀行のネットバンキングでログインの際の認証に「数字4桁の暗証番号」が使われていることについて、疑問の声が出ている(三井住友銀行ネットバンクの暗証が数字4桁になった件 | 栗原潔のIT弁理士日記)。 三井住友銀行のネットバンキングでは、昨年10月よりログインや残高照会などの処理については数字4桁の暗証番号(第一暗証)で認証を行い、振り込みや解約などの情報についてはワンタイムパスワード生成機(「パスワードカード」)を使ったワンタイムパスワード認証を利用する形に変更されている。しかし、「第一暗証」には銀行口座のキャッシュカードの暗証番号と同一のもの、もしくは任意の数字4桁しか指定できない(三井住友銀行のヘルプページ)。その点がセキュリティ的に脆弱ではないかと指摘されている。 また、設定によっては登録済みの振込先に対し、パスワードカードなしでの振り込みも可能になってしまうという。それ以外の
記憶喪失からパスワードを守るには? | スラド Slashdotに聞け
パスワードマネージャーや暗号化ファイルなどを使用すれば、パスワードを安全に保存することができる。パスワードを暗記できれば、何かに書いて保存しておく必要もない。しかし、/.erはデータの安全性とデータを失う危険性のバランスをどのように考えているだろう。事故などに逢って記憶を失い、パスワードがわからなくなってしまうことに備えてなにか用意しておくべきだろうか。たとえば、パスワードマネージャーのマスターパスワードをばらばらにして弁護士に預け、いざというときに連絡してもらえるようにしておくというのはどうだろう。金庫を買ってパスワードをしまっておく方法や、生体認証デバイスを購入する方法も考えられる。それとも妻や夫、恋人などにパスワードを教えておくのがいいだろうか。ご意見お聞かせ願いたい。
2段階認証の発明者はキム・ドットコム氏? | スラド YRO
Twitterが2段階認証を開始して間もなく、自分の発明をTwitterが勝手に使っているといった内容のツイートをキム・ドットコム氏が投稿した( The Vergeの記事、 TorrentFreakの記事、 Techdirtの記事、 本家/.)。 該当する特許はUS6078908Aで、認証時に別のデバイスを使用して送られた認証コードを入力することで認証が完了するというもの。キム・ドットコム氏の旧名(Kim Schmitz)で1998年4月22日に出願され、2000年6月20日に公開されている。この特許は米国および中国を含む13か国で有効とのこと。 Twitterのほか、GoogleやFacebook、Citibankなどもこの技術を無断で使用しており、使用回数は週10億回以上だという。ただし、キム・ドットコム氏はこれらの企業を訴えるつもりはないという。その代わりに、現在係争中の裁判費用を援
Googleの2段階認証を突破する方法が発見される | スラド IT
Googleアカウントへの不正アクセスを防ぐ方法として「2段階認証」がある。2段階認証ではログイン時にユーザー名およびパスワードに加え、携帯電話に送信されたパスコードが要求されるというものだ。しかし、これをを回避する方法がDuo Securityによって発見された(本家/.)。 幸いDuo Securityは良心的なチームだったため、この問題はGoogleのセキュリティチームへ報告され修正された。しかし一度は仕様だと断り、修正に半年もかかったという。このプロセスは改善してほしいところである。 発見された手法は、「アプリケーション固有のパスワード(ASP)」を利用するもの。GmailやGoogleカレンダーなどにアクセスする一部アプリケーションでは2段階認証が利用できないため、Googleはそれらのアプリケーション向けに専用のパスワードであるASPを生成する方法を用意している。しかし、このA
あふれるパスワード管理に嫌気がさしてMIRUPASSを衝動買い (1/3)
パスワードの起源を「印章」にまでさかのぼると、その歴史は数千年を超えてしまうが、昨今のネット上のパスワードと類似のものだけを考えても、その歴史はすでに50年近くになる。それは1台の大きな汎用コンピューターを、同時に複数人数で使用するためにユーザーを特定し、分離・保護するための仕組みだった。 同じ原理は、今や誰もが使っているATMを操作する時の「暗証番号」も同じだ。限られた企業内や学校内の限定された人たちだけが、ホストコンピューターを使用するときに使っていたログインIDやパスワードも、インターネットが爆発的に拡大した時点で、誰もが持つようになり、1人あたりのパスワード所有数は急激に増え続けているのが現状だ。 しかし、増え続けるパスワードの運用・管理は難しい。調査会社の資料でも、90%以上のユーザーが覚えきれないパスワードの対応策として、「相手先は異なっても、ほとんど同じパスワードを使いまわす
Hotmailのパスワードは先頭16文字だけが認証に使われる | スラド セキュリティ
ストーリー by headless 2012年09月22日 17時48分 steveballmer@outlook.comからのメール 部門より Hotmailにログインする際、パスワードの先頭16文字だけを入力するように表示されることが本家/.で話題になっている(The Next Webの記事、 本家/.)。 現在、Hotmailにログインしようとすると「Microsoft アカウントのパスワードは、16 文字までの長さにします。16 文字より長いパスワードをお使いの場合は、最初の 16 文字を入力してください。」と表示される。Microsoftアカウントの設定画面でも、新たに16文字以上のパスワードを設定することはできない。 MicrosoftがOutlook.comのサービスを開始した際、Microsoftアカウントのパスワードは最大16文字とされており、Yahoo!アカウント(最大
パスワード再発行に必要な「秘密の質問」は役立たず | スラド セキュリティ
本家/.で、「Secret Security Question」(パスワードを忘れた際などに尋ねられる質問は役立たずだ、という話題が紹介されている。 「秘密の質問」では、たとえば「ペットの名前」や「通っていた小学校」、「母親の旧姓」といった質問が用意されているが、今日ではGoogle検索のスキルがあればその答えが簡単に入手できてしまうものも多い。これらは時として、パスワードを破るよりも簡単に破られてしまう。 そこで対策として挙げられているのが、ランダムな答えを設定することだ。もちろんその場合、パスワードを忘れた際にはやや面倒なことになるが、そういった場合はその会社のサポートに電話をすればいい、としている。
無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つけるフリーのオープンソースソフト「Pyrit」
ATI Stream テクノロジー/Nvidia CUDA/OpenCLを駆使し、WPA/WPA2-PSKを突破するために必要となる巨大なデータベースを事前に作成することによって極めて高速にパスワードを解析できるのがフリーのオープンソースソフト「Pyrit」です。厳密なライセンスはGNU GPL v3となっています。 pyrit - WPA/WPA2-PSK and a world of affordable many-core platforms - Google Project Hosting http://code.google.com/p/pyrit/ 事前に巨大なデータベースを作成しておくため、ハードディスクの容量は割と必要となりますが、それとトレードオフで解析速度を高速化しようというアプローチになっており、FreeBSD・MacOS X・Linux上で動作し、MinGWを使うこ
無線LANのパスワード解析「Pyrit」その他
総当たりでパスワードを全種類試していくという手法を「ブルートフォースアタック」と言いますが、無線LANのWPA/WPA2-PSKをGPUで超高速解析してパスワードを見つけるフリーのオープンソースソフト「Pyrit」が採用している方法もまさにそのブルートフォース攻撃そのもの。そのため、無線LANの暗号化の仕組みのバグやセキュリティホールを突いているわけではなく、時間さえかければそのうち突破できるだろうというある意味「力業な攻撃」であるわけです。 では実際にどれぐらいの速度がかかるのか?という気になる点について、「Pyrit」の公式ブログにて言及したエントリーが2008年にありました。 The twilight of Wi-Fi Protected Access(無線LANセキュリティの黄昏のはじまり、とでもいうような意味) http://pyrit.wordpress.com/the-twi
Twitterの大量流出したパスワードに自分のものが含まれているかどうか一発でわかる「WIWA TWIPASS」
「TwitterのアカウントPASSが流出していないかどうか確認するサイトを作った。30分で」ということで、本日明らかになったTwitterのパスワード大量流出(延べ5万5000件、重複しているものを除いて約3万5000件)について、自分のTwitterアカウントのパスワードが漏れていないかどうかが分かるサイトが登場しています。 Twitterのパスワードが流出していないか確認:WIWA TWIPASS http://twipass.wiwa.jp/ 使い方は簡単、空欄に自分のアカウント名を入れて「チェックする」をクリック 漏れていない場合はこうなります、大丈夫 漏れている場合はこのように表示されます、アウト。パスワードを変更し、同じパスワードをほかのサービスやアプリなどでも流用してしまっている場合はすべて変更しておきましょう。 2012/05/10 9:40追記 Twitterの公式ブロ
ユーザー名とパスワードを含む大量のTwitterアカウント情報が流出? | スラド セキュリティ
Twitterのユーザーアカウントおよびパスワード、電子メールアドレスが含まれると思われる情報が流出しているという(CNET Japan)。 流出した情報は、テキスト共有サイトpastebin.comにて公開されており、カウント名およびパスワードと見られるものが確認できる。この情報を伝えたセキュリティ情報ブログAirdemon.net(キャッシュ)によると、5万5000以上のアカウント情報が漏洩しているとのこと。 ただしTwitterの広報担当によると、このリストには2万件以上の重複があり、またすでに停止されているスパムアカウントや正しくないパスワード情報も多く含まれているとのこと。 また、一部のユーザーについてはパスワードのリセットが行われているとのことだ。該当するユーザーには個別に連絡が行っている模様。
DIGAとその仲間たち パスワード変更は慎重に
「DMR-BW930 その8 タイトル編集はネットから 」で室内からログインしたときにディーガのパスワードを設定したが、それがDIMORA(ディモーラ)に影響を及ぼしてしまった。 DIMORAは、インターネットを介してリモート予約や録画済番組の確認ができるわけだが、携帯で録画済の番組を見たところ番組一覧が更新されていなかった。 携帯からではわからなかったが、PCから一覧を取得すると「パスワードが違います。」のメッセージが・・・。そうだよなーと思いながらパスワードを新規に入れても、「パスワードが違います。」のメッセージ。 何回かチャレンジしても駄目で、ヘルプを読んだところどうやら本体のパスワードを変更したら登録機器をいったん削除しないといけないらしい。 削除する前に、機器IDをメモするか、スクリーンキャプチャでどこかに保存しておくことを勧める。新しく作成したときにテレビの前に行って機器IDを
求職者にFacebookのユーザ名とパスワードの開示を求める雇用者がいる | スラド YRO
ある求職者が面接時にFacebookのユーザ名とパスワードの開示を求められたが、彼は断り、その場を辞したという(TechCrunchの記事、APが報じた記事)。雇用者によっては、自由意思による提供を求める、という向きもあるらしいが、自由意思による場合もやはり間違っていると思われる。 Facebookもこの問題を認識しており、パスワード共有を禁止するための方策を考えており、訴訟や法律の制定に至るかもしれないという。
Facebookのパスワード開示を拒否した教員補助員、解雇処分 | スラド IT
雇用者が求職者や従業員に対してFacebookのパスワード開示を求める問題が各所で取り沙汰されており、こうした行為は法律的に禁止するべきだとする声が上がっているなか、また問題が起きてしまった。ミシガン州にある小学校で教員補助員を務めていた女性が、スーパーバイザーからFacebookのパスワードを開示するよう求められたところ、これを拒否したため解雇されていたとのこと(本家/.、ZD Net記事)。 問題の原因は2011年4月に遡るが、Kimberly Hester氏がふざけて、同僚のズポンを足首に巻き付けて撮った写真に「あなたを想っている」と一言付け加えてFacebook上に投稿したのだが、これを見た生徒の保護者及びHester氏の友人が学校に対して苦情を訴えることとなった。これを受け、数日後にはLewis Cass ISD教育長Robert Colby氏が三度に渡って彼女のFacebook
パスワードがなくなる日、当分の間はやって来ない | スラッシュドット・ジャパン セキュリティ
IBM は昨年末、恒例の未来予測で「パスワード不要化」を挙げていたが (/.J 記事) 、カナダのカールトン大とマイクロソフトの研究者によれば、音声や顔認識、指紋、網膜認証といったものがパスワードに取って代わることは当分の間はないだろうとのこと (IEEE Security&Privacy Magazine の予稿[PDF]、本家 /. 記事より) 。 これまでパスワードはいずれなくなるものと考えられていたため、パスワードそのものにはこの 20 年間、何も進歩がみられなかった。一方、生体認証や PKI などパスワードに取って代わろうとした他の認証方法は、費用対効果、即時性、利便性といった点でパスワードには勝てなかったとしている。また、多くのシチュエーションにおいてパスワードの利用がふさわしいということを踏まえ、代わりとなる他認証方法を求めてさらに 20 年を無駄にすることはやめ、セキュリテ
ネットサービス利用者、7割弱がパスワードを「使い回し」 : オレ的ゲーム速報@刃
1 名前:◆SCHearTCPU @胸のときめきφ ★投稿日:2012/01/14(土) 08:37:24.75 ID:???0 ネットサービス利用者、7割弱がパスワードを「使い回し」 http://japan.internet.com/busnews/20120114/5.html フィルモア・アドバイザリーは2012年1月10日、、インターネットサービスのパスワードに関わるアンケート結果を発表した。それによると、全体の67%にあたる人が「基本的に普段使うパスワードを使いまわしている」と答えたという。 パスワードを使いまわす理由は「いちいちパスワードを管理するのが大変だから」が最も多く56%、次いで「他人に推測されづらいパスワードだから」25%、「パスワードが知られても影響が軽微なサービスが多いから」12%という順になった。年代別に見ると、 パスワードの使いまわしは20代が最も多く、対し
新年にはパスワード変更を? | スラド Slashdotに聞け
毎年新年になると、私は大文字と小文字を混ぜたランダムな7~10文字の文字列を生成して覚え、Webサイトごとに異なる文字を付加して新しいパスワードを設定している。しかし、問題になるのはWebサイトを訪れた際にのみパスワードを変更するという点だ。そのため、あるWebサイトを数年ぶりに訪れた際に、パスワードがどうしても思い出せないということがあった。皆さんはどのようにパスワードを変更しているだろうか。また、私と同じような状況になったときにはどうしているのだろうか。私はKeePass(パスワード管理ソフト)を利用しているが、常に同じパソコンを使うわけではないので役に立たない場面もある。 実際のところ、手を抜かずに新しいパスワードをすべてのサイトに設定すればいいという話なのだが、何年もアクセスしていないサービスの場合はパスワードを思い出せないこともあるだろう。忘れにくく、破られにくいパスワードを設定
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PC
3秒で破られる!危険なパスワード | web R25