「パスワード」カテゴリーアーカイブ

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員)

7payは7月30日午後に、全利用者のパスワードをリセットすると発表した。報道によると「(7iDを使う7payの不正利用問題で)パスワードリスト攻撃を受けた可能性が高く、リスクを極小化するため」(広報)と説明しているという。筆者はIdPを運用している立場でしばしば攻撃に直面して数百万人単位のパスワードのリセットを...

はてなブックマーク - 7Pay 謎の全利用者パスワードリセットを実施|楠 正憲(国際大学GLOCOM 客員研究員) はてなブックマークに追加

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞

セブン&アイ・ホールディングス(HD)は30日、スマートフォンアプリやインターネット通販サイトの利用に必要なグループ共通IDのパスワードリセットを始めたと発表した。バーコード決済サービスが不正利用された事件に対応し、安全性を担保したい考え。共通ID「7iD」会員全約1650万人が対象で、パスワードを再設定しない...

はてなブックマーク - セブン、全会員のパスワードを強制リセット 1650万人  :日本経済新聞 はてなブックマークに追加

クロネコメンバーズの不正ログインについてまとめてみた

2019年7月24日、ヤマト運輸は同社のサービス「クロネコメンバーズ」のWebサービスに対し、不正ログインの被害があったことを発表しました。ここでは関連する情報をまとめます。

被害の状況

不正ログイン件数 3,467件
不正ログイン試行件数 約3万件
不正ログイン試行期間 2019年7月22日夕方~24日朝
試行件数あたりの不正ログイン成功率 約10%
  • サービス登録者数は約2800万人。
  • 調査を通じてリスト型攻撃による不正ログイン被害と発表。
  • リスト型攻撃と判断したのは試行されたID、パスワードが同社のサービスで使用されていないものが多数含まれていたため。
  • ヤマト運輸は個人情報の悪用や金銭などの被害は確認していない。
  • 不正ログインが確認された利用者へはメールにて連絡。パスワード変更を必要とする措置を実施。
  • 2014年に同様の攻撃を受けたがその時の被害件数は約1万件。
  • 今回の被害対象にメールアドレス非登録者は含まれていない。

不正ログインにより以下の情報が盗み見られた可能性がある。

  • クロネコID
  • メールアドレス
  • 利用端末種別(パソコンまたは携帯・スマートフォン)
  • 氏名
  • 電話番号
  • 性別
  • 郵便番号、住所
  • クレジットカード情報(番号下4桁・有効期限・カード名義)
  • アドレス帳情報(氏名・住所・電話番号)

インシデントタイムライン

日時 出来事
2019年7月22日夕方 クロネコメンバーズに対して不正ログインの試行が始まる。
2019年7月23日昼頃 ヤマト運輸が特定のIPアドレスからの不正ログイン試行について認知。
不正ログインを試行するIPアドレスを遮断。
2019年7月24日 ヤマト運輸が不正ログイン被害を発表。

piyokangoが気になる事項

  • 大量アクセス時に自動遮断する仕組みが導入されていたが今回は機能しなかった。*1
  • IDは登録済か確認する機能が存在するが、発表には「使用されていないID(およびパスワード)が含まれていた」とあり、スクリーニング用途に悪用されたかは不明。

f:id:piyokango:20190727035035p:plain

  • 二段階認証はPC向けのサイトのみ有効で、スマホ向けsmp-cmypage.kuronekoyamato.co.jpや携帯向け9625.jpでは設定後も二段階認証は行われない。
  • 二段階認証の設定は既定で無効。今回の事案においても推奨項目に含まれていない。

f:id:piyokango:20190727035222p:plain

更新履歴

  • 2019年7月27日 AM 新規作成

クロネコメンバーズの不正ログインについてまとめてみた

2019年7月24日、ヤマト運輸は同社のサービス「クロネコメンバーズ」のWebサービスに対し、不正ログインの被害があったことを発表しました。ここでは関連する情報をまとめます。

被害の状況

不正ログイン件数 3,467件
不正ログイン試行件数 約3万件
不正ログイン試行期間 2019年7月22日夕方~24日朝
試行件数あたりの不正ログイン成功率 約10%
  • サービス登録者数は約2800万人。
  • 調査を通じてリスト型攻撃による不正ログイン被害と発表。
  • リスト型攻撃と判断したのは試行されたID、パスワードが同社のサービスで使用されていないものが多数含まれていたため。
  • ヤマト運輸は個人情報の悪用や金銭などの被害は確認していない。
  • 不正ログインが確認された利用者へはメールにて連絡。パスワード変更を必要とする措置を実施。
  • 2014年に同様の攻撃を受けたがその時の被害件数は約1万件。
  • 今回の被害対象にメールアドレス非登録者は含まれていない。

不正ログインにより以下の情報が盗み見られた可能性がある。

  • クロネコID
  • メールアドレス
  • 利用端末種別(パソコンまたは携帯・スマートフォン)
  • 氏名
  • 電話番号
  • 性別
  • 郵便番号、住所
  • クレジットカード情報(番号下4桁・有効期限・カード名義)
  • アドレス帳情報(氏名・住所・電話番号)

インシデントタイムライン

日時 出来事
2019年7月22日夕方 クロネコメンバーズに対して不正ログインの試行が始まる。
2019年7月23日昼頃 ヤマト運輸が特定のIPアドレスからの不正ログイン試行について認知。
不正ログインを試行するIPアドレスを遮断。
2019年7月24日 ヤマト運輸が不正ログイン被害を発表。

piyokangoが気になる事項

  • 大量アクセス時に自動遮断する仕組みが導入されていたが今回は機能しなかった。*1
  • IDは登録済か確認する機能が存在するが、発表には「使用されていないID(およびパスワード)が含まれていた」とあり、スクリーニング用途に悪用されたかは不明。

f:id:piyokango:20190727035035p:plain

  • 二段階認証はPC向けのサイトのみ有効で、スマホ向けsmp-cmypage.kuronekoyamato.co.jpや携帯向け9625.jpでは設定後も二段階認証は行われない。これは同社のFAQでも説明が行われているものでアプリも対象に含まれている。

f:id:piyokango:20190729065509p:plain
(二段階認証の有効対象を説明するページ)

  • 二段階認証の設定は既定で無効。今回の事案においても推奨項目に含まれていない。

f:id:piyokango:20190727035222p:plain

更新履歴

  • 2019年7月27日 AM 新規作成
  • 2019年7月29日 AM 二段階認証について追記

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー – @IT

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT

徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT

@ITセキュリティセミナー:徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」 サイバーセキュリティの世界で取り上げるべきトピックは多々あるが、「基本的な守りを固める」ことも重要だ。2019年6月26日に行われた「@ITセキュリティセミナーロードショー」の中から、その際に...

はてなブックマーク - 徳丸浩氏が誤解を指摘――Webサービス運営者が知らないと損害を生む「パスワード保護の在り方」:@ITセキュリティセミナー - @IT はてなブックマークに追加

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? – GIGAZINE

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE

セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE

by stevepb 「パスワードは長く、英数字を混ぜた方がいい」「他人に推測されないパスワードを作ることが重要」といった意見は広く受け入れられていますが、Microsoftの個人情報部門セキュリティ保護チームに勤務するアレックス・ヴァイネルト氏は、「パスワードについての言説は誇張されたものが多く、実際にはパスワー...

はてなブックマーク - セキュリティ専門家が「パスワードの複雑さはそれほど重要ではない」と主張するのはなぜか? - GIGAZINE はてなブックマークに追加

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル

「セブンペイ HP」より 7payでの「クレジットカードからの不正チャージ」事件は、史上まれに見る「ずさんなセキュリティ」が背景にあることがわかってきました。被害者インタビューから考えると、セブンイレブンからの情報漏えいの可能性を考えなければなりません。 決済業界の中の人・めるかば氏も被害 7payの事件では...

はてなブックマーク - 7pay不正利用、セブンイレブンから情報漏えいか…セブンのセキュリティは極めて脆弱 | ビジネスジャーナル はてなブックマークに追加

高木浩光@自宅の日記 – 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章)

■ 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) 7payの方式はなぜ許されないのか、なぜあんな設計になってしまったのか、どう設計するのが正しいのか、急ぎ書かなくてはいけないのだが、前置きが長くなっていつ完成するかも見えない。取り急ぎ以下のツイートでエッセンス...

はてなブックマーク - 高木浩光@自宅の日記 - 天動説設計から地動説設計へ:7payアプリのパスワードリマインダはなぜ壊れていたのか(序章) はてなブックマークに追加

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを

7pay(セブンペイ)の不正利用が話題になっています。 個人情報の流出というだけなら割とよく聞く話ですが、今回は7pay側のあまりに杜撰すぎるシステムと事後対応が批判の的に。 二段階認証を設定していないため、メールアドレス、生年月日、電話番号さえわかれば第三者でも簡単にパスワード変更ができてしまいます。 さ...

はてなブックマーク - オムニ7(7iD)を退会する方法。個人情報流出や不正利用のリスク大なので、退会前に情報の書き換えを はてなブックマークに追加

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com

パスワードを忘れたユーザを救済するための仕組みをパスワードリマインダといいます。パスワードリマインダを設けることでユーザの利便性は高まりますが、認証の機会が増えることでセキュリティが弱くなるため仕組みや設置の可否を慎重に検討する必要があります。 IPAのセキュリティプログラミング講座では、パスワード...

はてなブックマーク - 平成28年春期問40 パスワードリマインダ|基本情報技術者試験.com はてなブックマークに追加

7payの不正利用についてまとめてみた – piyolog

7payの不正利用についてまとめてみた - piyolog

7payの不正利用についてまとめてみた - piyolog

セブンイレブンで開始されたスマートフォン決済サービス「7pay」で、セブン&アイホールディングスは2019年7月3日頃より不正利用が発覚したと発表しました。ここでは関連する情報をまとめます。 公式発表 www.7pay.co.jp (セブン&アイHDサイト掲載のPDF) www.7card.co.jp 同日公開していた注意喚起(現在は削除、ア...

はてなブックマーク - 7payの不正利用についてまとめてみた - piyolog はてなブックマークに追加

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき

7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 2019.07.03 キャッシュレス 7id, 7pay, omni7, オムニ7, セブンイレブン 今7payの不正利用の話が広まってますが、そもそも原因として出ていたのが7iDのパスワード再発行がセキュリティ的に最悪なこと。 そもそもパスワード変更なん...

はてなブックマーク - 7iDのパスワード再発行がセキュリティ的に最悪な件:パスワード変更しても無意味な状況 │ かえざくらのつぶやき はてなブックマークに追加

ハッシュ化されていなかったG Suiteのパスワード問題についてまとめてみた

2019年5月21日、GoogleはG Suiteに保存されたパスワードの一部に問題(ハッシュ化が行われていなかった)が確認されたとして利用者へ案内を行っています。ここでは関連する情報をまとめます。

Googleの発表

cloud.google.com

  • この問題の影響はビジネス向け利用者(G Suite ユーザー)が対象。
  • 無料のGoogle アカウントへの影響はない。
  • 2つの問題が確認され、いずれも修正されている。
  • 問題を悪用した兆候は確認されていない。
確認された2つの問題
No 発生原因 保存内容 影響期間
問題① 管理コンソールのパスワード設定・復元機能バグ パスワード平文のコピー 2005年以降
(問題のツールは削除済)
問題② ユーザーサインアップ時の暗号化された内部システムへの誤保存 パスワード平文の一部 2019年1月以降
(保存は最大14日間)
  • Googleは問題①を2019年4月に確認。
  • さらに問題①の対応中に問題②の不具合を2019年5月に確認。
  • それぞれの問題の影響を受けたユーザー数は不明。
  • Googleはデータ保護当局へこの問題を報告済み。*1

強制リセットの案内

  • G Suiteの管理者宛にこの問題に対する連絡が行われている。
  • メールは日本時間で2019年5月21日 6時頃に届いたとみられる。
  • 影響を受けた問題に応じた文面で通知される。確認した範囲では英文のみ。
  • メールの件名は「Google Customer Alert」
  • 問題①の影響を受けた場合は以下の対応が案内されている。
対象 強制リセット予定日 対応内容
シングルサインオンユーザー 2019年5月22日 パスワードをランダムな文字列に変更しリセットする。
他のユーザー、管理者 2019年5月29日 5月22日にセッションを終了させ、次回ログイン時にパスワード変更を案内。
29日までにパスワード変更が行われていない場合は強制リセット。(管理者を除く)
  • 問題②の影響を受けた場合は、ユーザーの種別関係なしに22日にログアウト、29日までに対応が取られない場合は強制リセットの措置が取られる。
問題①の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that due to legacy functionality that enabled customer Domain Admins to view passwords, some of your users' passwords were stored in our encrypted systems in an unhashed format. This primarily impacted system generated or admin generated passwords intended for one-time use.

We have reviewed the login information for the user account(s) and have found no evidence that the unhashed passwords were misused.

The following is the list of users impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

Users With Single Sign On: We will reset their password by changing it to a randomly generated secure value. Please note that this will have no effect on their ability to log in using their Single Sign On credentials.
Other Users and Super Admins: We will terminate their sessions and prompt users to change their password at their next login.
In addition, starting Wednesday, May 29, 2019 PT we will reset the password for users that have not yet selected a new password or have not had a password reset. These users will need to follow your organization's password recovery process. Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

問題②の影響を受けた場合

Dear G Suite Administrator,

We are writing to inform you that between January 13, 2019 and May 9, 2019, an internal system that logged account signup information for diagnostic purposes, inadvertently stored one of your user account passwords in our encrypted systems in an unhashed format. This impacted the user account password provided during the initial account signup process. The log information was retained for 14 days following the signup process, and then was deleted according to our normal retention policies.

We have reviewed the login information for the account and have found no evidence that the unhashed password was misused.

The following is the user account impacted in your domain(s):

(影響を受けたアカウントのメールアドレス)

Google Planned Action: for your security, starting tomorrow Wednesday, May 22, 2019 PT we will force a password change unless it has already been changed prior to that time.

Our password update methodology is as follows:

We will terminate the impacted user’s session and prompt the user to change their password at their next login.

In addition, starting Wednesday, May 29, 2019 PT we will reset the password for the user if they have not yet selected a new password or have not had a password reset. This user will need to follow your organization’s password recovery process. However, Super Admins will not be impacted. For information on password recovery options please refer to the following Help Center Article.

For further questions please contact Google Support and reference issue number *********.

Sincerely,

The G Suite Team

更新履歴

  • 2019年5月21日 PM 新規作成

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で – Engadget 日本版

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版

MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版

MicrosoftはWindows 10の次期大型更新となるMay 2019 Update(通称1903、または19H1)、およびWindows Server バージョン1903におけるセキュリティベースラインのドラフトを公開しました。 とくに大きな変更となるのは、組織などによっては今でも使われているパスワードの有効期限ポリシーを廃止した点でしょう。これは...

はてなブックマーク - MSも「パスワード定期変更は不要」表明―Win 10の次期セキュリティ基準で - Engadget 日本版 はてなブックマークに追加

Facebookが一部ユーザーのパスワードを平文記録していた問題についてまとめてみた

KrebsOnSecurityが関係筋からの情報として、一部のFacebookユーザーのパスワードが暗号化されずに社内のデータストレージに読取可能な方式(平文)で保管されていたセキュリティ上の問題が生じていたと明らかにしました。Facebookはその後、この問題に関する見解を公開しています。ここでは関連する情報をまとめます。

KrebsOnSecurityの記事

問題を明らかにしたBrian Krebs氏の記事。
krebsonsecurity.com

明らかになった問題(Krebs氏の記事より)

  • 一部のユーザーパスワードを平文で保存。
  • 保存されたデータに対して2万人以上のFacebook従業員が検索可能な状態だった。
  • アクセスログから平文パスワードを含むデータに対して約2000人のエンジニア/開発者のアクセスが判明。
  • 約900万の内部クエリが実行されていた。(悪用は確認されていない)

問題の発端

  • 2019年1月に実施された定期コードレビューでセキュリティエンジニアが確認した。

影響範囲

  • 影響を受けるユーザーへの警告を計画中。
  • Facebookは通知件数を以下のように見積っている。
Facebook Lite*1 数億人規模
Facebook 数千万人規模
Instagram 数万人規模
  • Krebs氏の記事によれば2億~6億件が影響を受けた。
  • これまでの調査で問題のデータは2012年までのアーカイブが確認されている。
  • Facebookは3月21日時点で影響範囲(数、期間など)を調査中。*2

現時点で悪用の兆候なし

  • 意図的にパスワード探査するような誤用などは確認されていない。
  • Facebook側は現時点で実害となるリスクはないという認識。
  • Scott Renfro氏によればこの問題によるパスワード再設定の必要はないと説明。
  • 悪用の兆候が見られた場合はパスワード変更を強制する方針。

問題の情報提供元

  • Krebs氏に対してFacebook上級社員が匿名を条件に付いて情報提供。
  • この社員は調査に関わっているが報道向けに話す権限を保有していなかった。

Facebook側の対応

2019年3月21日に問題に関する見解を公表
newsroom.fb.com

  • 確認された問題については解決済みと説明。
  • 問題のデータはFacebook外部の誰にも見られていない。
  • パスワード、およびアカウント保護のベストプラクティスを紹介。

更新履歴

  • 2019年3月22日 AM 新規作成

*1:Facebook Liteは新興国など通信環境が不安定な人向けを想定した軽量版のサービス

*2:Krebs氏の取材に対して回答の準備がまだできていないとコメントしている。

KINEZOは映画館の係員でもパスワードを覗ける – 35歳からの中二病エンジニア

KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア

KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア

KINEZOといえば、映画のチケット予約サービスだけれども、セキュリティー界隈では「数字4桁のログインパスワード」でお馴染みの有名所でもある。平成も終わりに差し掛かっているのにこれを貫いているのには頭が下がる思いだ。今回は新宿バルト9でその更なる深淵を覗いてしまったので、ここに書き記しておく。 暗証番号代...

はてなブックマーク - KINEZOは映画館の係員でもパスワードを覗ける - 35歳からの中二病エンジニア はてなブックマークに追加

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用で...

はてなブックマーク - bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記 はてなブックマークに追加

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記

宅ふぁいる便から平文パスワードが漏洩した件を受けて、あらためてパスワードの安全な保存方法が関心を集めています。現在のパスワード保存のベストプラクティスは、パスワード保存に特化したハッシュ関数(ソルトやストレッチングも用いる)であるbcryptやArgon2などを用いることです。PHPの場合は、PHP5.5以降で使用で...

はてなブックマーク - bcryptの72文字制限をSHA-512ハッシュで回避する方式の注意点 | 徳丸浩の日記 はてなブックマークに追加

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) – ITmedia NEWS

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS

PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS

今さら聞けない「認証」のハナシ:PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) 専門用語が飛び交いがちなセキュリティの知識・話題について、「認証」関連分野を中心にできるだけ分かりやすく紹介する連載。今回はパスワード以外の「知識認証」について。 ほとんどの人が日常的に行っている...

はてなブックマーク - PINとパスワードは何が違う? 意外と知らない「知識認証」のハナシ (1/4) - ITmedia NEWS はてなブックマークに追加

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック)

有料会員限定記事 現在は登録会員(無料)の方も閲覧可能です 大阪ガス100%子会社のオージス総研(大阪市)が提供するファイル転送サービス「宅ふぁいる便」のサービス停止が続いている。2019年1月23日の午前10時50分にサービスを停止してから3週間が経過した。480万件のメールアドレスとパスワードが漏洩したと発表し...

はてなブックマーク - 宅ふぁいる便の平文パスワード大量流出事件、変わる常識と教訓 | 日経 xTECH(クロステック) はてなブックマークに追加

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) – @IT

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT

なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT

こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12):なぜ、パスワードを平文で保存するのですか? 情報セキュリティの啓発を目指した、技術系コメディー自主制作アニメ「こうしす!」の@ITバージョン。第12列車は「サービス提供側のセキュリティ」です。

はてなブックマーク - なぜ、パスワードを平文で保存するのですか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(12) - @IT はてなブックマークに追加

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 – Togetter

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter

「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter

(第3報)「宅ふぁいる便」サービスにおける不正アクセスによる、お客さま情報の漏洩について(お詫びとお願い) 2019年1月28日 filesend.to/index0128.html pic.twitter.com/TzPbWvPSm9

はてなブックマーク - 「世のエンジニア卒倒レベル」宅ふぁいる便が480万件の情報漏洩、暗号化もされてませんでした→ユーザー宛のメールも無茶苦茶 - Togetter はてなブックマークに追加

21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) – @IT

21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT

21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT

井二かけるの追い解説 今回の漫画のテーマは、ITエンジニアの間でしばしば批判される「後続メールでのパスワード別送」です。 ここでいう「後続メールでのパスワード別送」とは、メールで添付ファイルを送付する際、添付ファイルをパスワード付きzipとし、後続メールでパスワードを送付するという方式です。 現在、情報...

はてなブックマーク - 21世紀の人類がZIPのパスワードを直後のメールで送るのは、なぜデスか?:こうしす! こちら京姫鉄道 広報部システム課 @IT支線(11) - @IT はてなブックマークに追加

分散ユーザー管理システム「etcdpasswd」の紹介 – Cybozu Inside Out | サイボウズエンジニアのブログ

分散ユーザー管理システム「etcdpasswd」の紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ

分散ユーザー管理システム「etcdpasswd」の紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ

こんにちは、アプリ基盤チーム兼Necoプロジェクト所属の @ueokande です。 本日はNecoで開発しているUNIXユーザーの管理ツールである「etcdpasswd」を紹介します。 github.com etcdpasswdは、etcdをバックエンドに持つ分散型のユーザー管理システムです。 etcdpasswdは自律型の分散システムで、一時的にホストがダウンし...

はてなブックマーク - 分散ユーザー管理システム「etcdpasswd」の紹介 - Cybozu Inside Out | サイボウズエンジニアのブログ はてなブックマークに追加

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス

高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス

情報セキュリティには「常識」とされるさまざまな対策・行動があります。しかし私たちが当たり前のように受け入れている常識の中には、実は「誤解」にもとづく対策・行動が混じっているのもご存じでしょうか。 そんな情報セキュリティにまつわる「常識の誤解」を晴らすのが、情報セキュリティ分野の第一人者、国立研究開...

はてなブックマーク - 高木浩光氏が解説「パスワード定期変更は都市伝説」 | Bizコンパス はてなブックマークに追加

「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ:ゲストアカウントから攻撃できる場合も – @IT

「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ:ゲストアカウントから攻撃できる場合も - @IT

「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ:ゲストアカウントから攻撃できる場合も - @IT

ゲストアカウントから攻撃できる場合も:「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ パスワードマネージャーなど、コンピュータセキュリティにとって重要な10以上のアプリケーションに、プロセス間通信を横取りする攻撃に対する脆弱(ぜいじゃく)性があることが分かった。 フィンランドのア...

はてなブックマーク - 「パスワードマネージャー」に脆弱性、プロセス間通信を悪用される恐れ:ゲストアカウントから攻撃できる場合も - @IT はてなブックマークに追加

Linux 作業手順書からべた書きパスワードをなくすシンプルなアイディア

Linux 作業手順書からべた書きパスワードをなくすシンプルなアイディア

Linux 作業手順書からべた書きパスワードをなくすシンプルなアイディア

TL;DR 怖いですよね、セキュリティインシデント。 インフラ系でお仕事をしていると、 Linux にログインして操作する手順書を作る事が多くなります。手順書の中には認証が必要なコマンドを含めなければならない場合もあり、そういった時にはパスワードといったクレデンシャル情報の取り扱いを考える必要性が出てきます。...

はてなブックマーク - Linux 作業手順書からべた書きパスワードをなくすシンプルなアイディア はてなブックマークに追加

キーボードに残された体温でパスワードを推測する攻撃手法–スパイ映画さながら – CNET Japan

キーボードに残された体温でパスワードを推測する攻撃手法--スパイ映画さながら - CNET Japan

キーボードに残された体温でパスワードを推測する攻撃手法--スパイ映画さながら - CNET Japan

セキュリティ企業のESETは、キーボード入力されたパスワードの情報を、各キーに残る体温から推測する攻撃手法「Thermanator」を紹介した。 この攻撃方法は、カリフォルニア大学アーバイン校(UCI)が可能性を実証して論文で示したもの。入力を終えてからも、キーボードに残された熱で入力内容を推測するヒントが得られる...

はてなブックマーク - キーボードに残された体温でパスワードを推測する攻撃手法--スパイ映画さながら - CNET Japan はてなブックマークに追加