Everyone should already know how important it is to use strong passwords. Ideally, you'd have a different password for each account, and all of them would be long, complex, and contain numbers and special characters. Few abide by these rules, which is understandable. After all, who could remember all these passwords? It seems much more convenient to just store them somewhere, like in a browser for
ハッカーによって32億件ものアカウント情報がネット上に公開されたとcybernewsが報じた。 人気の高いハッキングフォーラムで公開された“Compilation of Many Breaches”(略称:COMB)と名前が付けられているデータベースには膨大な数のメールアドレスとパスワードのセットが含まれているとのこと。 公開されたデータは新たに流出したものではなく過去に流出したアカウント情報を集めたものだが、不正ログインが可能な有効なものも含まれている。 COMBの公開から3日後に、何者かがアメリカ・フロリダ州の水処理場の管理システムに侵入し、人体に害を及ぼす恐れのある水酸化ナトリウムの濃度が一時的に通常の100倍以上に設定された事件が発生。ハッキングされた水処理場のアカウント情報もCOMBには含まれていたという。 2段階認証で対策を cybernewsによると、COMBにはNetfli
CloudflareでCTOを務めるジョン・グラハム=カミング氏が、30年前のZIPファイルをクラックして解読に成功し、その方法についてブログに記しました。 John Graham-Cumming's blog: Cracking an old ZIP file to help open source the ANC's "Operation Vula" secret crypto code https://blog.jgc.org/2024/09/cracking-old-zip-file-to-help-open.html 南アフリカで反アパルトヘイト活動をしていたティム・ジェンキン氏は、かつてアフリカ民族会議(ANC)の暗号化通信システムを構築しました。その通信システムのソースコードはパスワード付きのZIP形式で保存されていたものの、ジェンキン氏はパスワードを忘れてしまったとのこと。
ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 19日目の投稿です。 急に穴が空いたのでアカウントリカバリーとかの話でリカバリーしましょう。 今年は認証やら本人確認などが騒がしい年でありました。 大きな問題の話はおいといて、自分のブログ記事に書いたぐらいの話を用いて振り返ります。 1. 一般的なパスワード認証 - パスワード = メール/SMSを用いたパスワードレス認証? bosyuがTwitter/Facebookのソーシャルログインに加え、メールでリンクや認証コード的な文字列を送信、それを検証することでログイン状態とするパスワードレスな認証機能を実装されていました。 bosyuが実装したメールアドレスでの登録/ログイン機能とは!? - r-weblife (追記: ころちゃん氏が関連する記事を書いてました。パスワ
4年前に流行った、ピコ太郎の「ペンパイナッポーアッポーペン」(PPAP)。覚えている方も多いのではないでしょうか。 先日、政府が、中央省庁での「PPAP廃止」を決めました。PPAPといっても、ピコ太郎「じゃない方」のPPAPです。 メールにパスワード付きZIPファイルを添付し、その後に送るメールで、パスワードを知らせる。 中央省庁だけでなく、日本の企業などで広く普及しているこの“セキュリティ対策”ですが、「セキュリティ的には意味がない」「むしろセキュリティリスクになる」とされ、専門家の間では「PPAP」とも呼ばれて廃止が訴えられてきました。 改めて、PPAPとは PPAPは、「ファイルをZIP形式で圧縮し、そのZIPファイルを暗号化してパスワードで保護し、メールに添付する」「それを解凍するパスワード入りメールを別送する」ことで、機密情報などを含んだZIPファイルが万一流出した場合に、悪意の
Yahoo! JAPAN is one of the largest media companies in Japan, providing services such as search, news, e-commerce, and e-mail. Over 50 million users log in to Yahoo! JAPAN services every month. Over the years, there were many attacks on user accounts and issues that led to lost account access. Most of these issues were related to password usage for authentication. With recent advances in authentica
無料で使えるオープンソースのパスワードマネージャー「KeePass」は、パスワード生成機能や二要素認証といった高度な機能を備えていますが、Google Drive経由でのデータベース同期にはデフォルトでは対応していません。無料のKeePass用プラグイン「KPSync for Google Drive」を使うと、KeePassのデータベースファイルをGoogle Drive経由で同期することが可能になります。なお、KPSync for Google Driveを利用するには、Windowsでバージョン2.35以上のKeePassを利用する必要があります。 KPSync for Google Drive™ | Secure sync automation with Drive. https://www.kpsync.org/ まずはプラグインのダウンロードページにアクセスして、「Downlo
毎日のように起きている、サイバー攻撃や情報漏えい。 いつあなたのSNSのアカウントが乗っ取られるかわかりません。 そんな状況にも関わらず、あるアンケート調査では「パスワードを使い回している」と回答した人が半数にものぼっています。 でも、なぜ使い回してはいけないの? 安全なパスワードを設定するだけで、本当に大丈夫なの? 最近よく聞く、パスワードの定期変更は必要ないという話は、本当なの? パスワードの保存や設定について、改めて専門家に聞きました。
セキュリティ調査企業のLedger Donjonが、セキュリティ企業・カスペルスキーの開発するパスワードマネージャー「Kaspersky Password Manager(KPM)」のプログラムに問題があり、生成されたパスワードが総当たり攻撃に対して非常に脆弱だったことが判明したと発表しました。KPMの利用者には既にパスワードの更新をするように促すメッセージが送信されており、記事作成時点ですでに問題は修正済みとのことです。 Kaspersky Password Manager: All your passwords are belong to us | Donjon https://donjon.ledger.com/kaspersky-password-manager/ Kaspersky Password Manager's random password generator was
Googleの各種サービスやYahoo! Japan、LINE、オンラインバンキング、オンラインショッピングなど、Webサービスの利用で頻繁に使うことになるパスワード。ログインしようとしている人が本人かどうかを認証するための仕組みとして使われているが、フィッシング詐欺やパスワードリスト攻撃など、犯罪者による攻撃が後を絶たず、個人情報や金銭が詐取される被害が頻発している。 そうした問題に対抗する技術として、パスワードを使わない認証技術「FIDO」を推進するFIDOアライアンスが、普及に向けた取り組みを加速している。FIDOアライアンスが主催するイベントに合わせて来日したエグゼクティブディレクター兼最高マーケティング責任者であるアンドリュー・シキア氏と、FIDOを推進するNTTドコモのチーフセキュリティアーキテクトである森山光一氏が、FIDOと新しいパスキーに関して説明。FIDOでは、「パスワ
数年前から、パスワードを使用しない指紋認証などの生体認証に対応したサイトが増加し、手間のかかるパスワード入力なしで、指紋一つで簡単にログインできる機会が増えました。 そうこうしているうちに、最近では「パスキー」という新しいパスワードレス技術に関する言葉をよく目にするようになりました。 パスキーに対応したブラウザやパスワードマネージャーの開発が進み、Googleがデフォルトの認証方法としてパスキーを採用するなど、その普及が加速しています。 FIDOとWebAuthnとパスキーは何が違うの? もっとセキュアになったの? サイトによってUXが違うんだけど? このような質問に答えてくれるのが、2023年11月に開催された技術書典15で発行された『パスキーのすすめ』です。 著者はOAuthやOpenIDに関する複数の出版経験を持つAuth屋さんであり、監修を務めたのはID関連に深い洞察を持つrito
Please, don't use equality operator when comparing password hashes As you saw in the title, you shouldn’t be using the equality operator to compare password hashes, and you may ask why? The answer to that question is that it will open your application to timing attacks because of how the equality operator works. In the following sections, I will talk about timing attacks, how the equality operator
米Googleは10月10日(現地時間)、パスワード不要のサインイン機能「パスキー(passkey)」を、Googleアカウントのデフォルト(初期設定)オプションに設定すると発表した。アカウントにサインインしようとすると、パスキーの作成を求めるプロンプトが表示されるようになる。 パスキーはパスワードより安全ではあるが、「新技術が普及するには時間がかかることが分かっているため」、ユーザーにはパスワードを引き続き使い続けるオプションも提供する。設定画面で「可能な場合はパスワードをスキップする」をオフにすれば、パスキーをオプトアウトできる。 パスキーは、Googleが昨年5月に米Appleと米Microsoftとともに発表したFIDO Allianceの「マルチデバイス対応FIDO認証資格情報」の通称。業界標準のAPIとプロトコルに基づく公開鍵暗号化を使い、面倒なログイン名とパスワードの入力を省
言うまでもなくパスワードの使い回しは危険だ。あるWebサービスからパスワードが流出した場合、別のWebサービスに不正にログインされる恐れがある。いわゆるリスト型攻撃だ。 これを避けるには、Webサービスごとに異なるパスワードを設定する必要がある。とはいえ、1人で多数のWebサービスを利用している現状では、全く異なるパスワードを設定するのは難しい。ベースとなるパスワードを1つ決めて、それをアレンジすることで異なるパスワードをつくっている人は多いはずだ。例えば冒頭や末尾に文字列を追加したり、一部の文字列を別の文字列に置き換えたりする。 ところが元のパスワードからアレンジ後のパスワードを推測される恐れがあるという。その推測方法を紹介しよう。 アレンジのプロセスをモデル化 ユーザーはどのようにパスワードをアレンジするのだろうか――。中国の研究者グループはそのプロセスを機械学習のモデルにし、高確率で
リトアニアのセキュリティ企業であるNord Securityは11月15日(日本時間)、2022年に最も使われたパスワードのランキングを発表した。米国やオーストラリアなど世界30カ国の1位は「password」(使用回数約500万回)。日本の1位は「123456」(同1210回)だった。 日本のランキングは2位が「password」(926回)、3位が「1234」(921回)、4位が「12345678」(562回)、5位が「akubisa2020」(438回)、6位が「xxxxxx」(406回)、7位が「sakura」(355回)、8位が「303030」(295回)、9位が「12345」(270回)、10位が「123456789」(247回)だった。 上位には「Garba3060」(14位、193回)、「ilove12345@」(19位、143回)、「diskunion」(20位、140回
Google ChromeやMicrosoft Edgeには、ユーザーの入力した単語が正しいスペルかどうかをサーバーのデータを用いてチェックする「拡張スペルチェック」機能があります。この「拡張スペルチェック」を利用したとき、基本的に入力フィールド内のすべての情報が外部サーバーに送信されていることがサイバーセキュリティ企業のottoにより指摘されています。「パスワードの表示」を行った場合は、パスワードすらも送信されるとのことです。 Chrome & Edge Enhanced Spellcheck Features Expose PII, Even Your Passwords | otto https://www.otto-js.com/news/article/chrome-and-edge-enhanced-spellcheck-features-expose-pii-even-you
ついに「パスワードレス」の世界がきた。「Microsoftアカウント」パスワードが削除可能に2021.09.17 18:0084,286 mayumine 一番自分を求めてくれる存在、パスワード。 一日に何度も何度も「パスワードくれ」って求められる人生から、マイクロソフトから率先して開放してくれました。マイクロソフトは9月15日(米国時間)、「Microsoft アカウント」からパスワードを削除できるようにしたと発表しました。 マイクロソフトはパスワードから開放される世界を目指していて、これは共感しかありません。パスワードが好きな人なんかいないし、パスワードはハッカーによる攻撃の主なターゲットになります。 マイクロソフトは、今年初めからパスワードレスの認証システムへの移行を進めていて、法人ユーザーはすでにパスワードレスでアカウントにサインイン可能になっていましたが、今回から全てのユーザーが
VPNサービス・NordVPNによって開発されたパスワードマネージャーのNordPassの公式サイトが、毎年公開している「世界で最もよく使われるパスワード」の2024年版を発表しました。 Top 200 Most Common Passwords | NordPass https://nordpass.com/most-common-passwords-list/ NordPassはセキュリティ企業のNordStellarと共同で、ダークウェブを含むさまざまな情報源から抽出した2.5TBのデータベースを分析し、世界44カ国の典型的なパスワードを特定しました。 発表された1~200位のうち10位までを表にまとめたのが以下。2年連続で「123456」が首位の座に輝いたほか、「password」や「qwerty123」などの常連もランク入りしています。 順位パスワードクラッキングにかかる時間数1
developer.1password.com パスワード管理ソフトで有名な 1Password に SSH の鍵管理の機能が追加されていた。 新たにセットアップする機会がなかったのでスルーしていたが、セットアップ機会が訪れたので試してみたところ、思った以上に体験が良かった。 また GitHub に SSH 鍵でコミットの署名・検証を行える機能が追加された。 これらが組み合さって、これまでの鍵管理やコミット署名と比べて手間無くセキュアに出来ることに気づいてきたので紹介してみる。 1Password での SSH 鍵生成/管理 まず、1Password 8 から SSH の鍵を生成 / 管理できるようになった。 blog.1password.com 詳しいやり方は上記のブログやドキュメントを見てもらう方がわかりやすい。 この機能を使った GitHub への鍵の登録イメージはブログにもあるこの
Limited space! Get on waitlist to be the first to know when tickets go live!
パスワード管理アプリ「1Password」の開発企業が社内で不審なアクティビティを検出したことを発表しました。不審なアクティビティは1Password社内で利用されている認証システム「Okta」を介して発生していたことが明らかになっています。 Okta incident and 1Password | 1Password https://blog.1password.com/okta-incident/ We detected suspicious activity on our Okta instance but confirmed no user data was accessed. Pedro Canahuati, our CTO, provides more information in this blog post https://t.co/x2bAUvw7ez, which i
Googleは「Google Workspace Status Dashboard」において、2024年7月24日22時半過ぎから25日16時半ごろ(協定世界時)までChromeのパスワードマネージャーが正常に動作しなくなったと報じた。影響を受けたユーザーは保存していたパスワードが消え、パスワードを保存できなくなったと報告している。 Google Workspace Status Dashboard パスワードが消えた原因 Googleは今回の件の根本原因を次のように説明している。 予備分析から問題の根本的な原因は、適切な機能保護なしに製品の動作を変更したことにあると判明した。Googleのエンジニアは修正プログラムを展開することで問題を軽減した。今後数日以内に完全修復し、根本原因を明らかにする。 現時点では暫定的な修復ではあるものの、問題は解決したと説明している。また、影響を受けたユーザ
CIでいろいろなタスクを自動化していると、CIで必要とするAPIのトークンやアカウント情報など設定しているシークレット変数が増えてきます。 たいていの場合はCIサービスのシークレット変数を利用すればよいですが、サービスによっては一度設定したシークレット変数を見ることができなかったり(GitHub ActionsやCircle CIが該当)、トークンやアカウント情報の更新や追加があったときにCIの変数を更新していくのが大変だったり、シークレット変数のメンテナンスはそこそこ面倒な作業です。 性質上かなり強い権限が設定されているトークンだったりすることもあるので、誰がその値をメンテナンスできるか、という管理の問題もあります。 そこで1Passwordをアカウント情報の共有に使っている組織なら、1PasswordはCLIの操作が提供されているのでCIから1Passwordのアカウント情報を取得する
セキュリティー対策ソフトのデジタルアーツは、メールに添付されたファイルのパスワード解読に関する調査結果を発表した。一般的に利用できるパスワード解読ソフトで様々な文字列を試したところ、英語の小文字6ケタは1秒未満、8ケタでも20秒で突破できたという。同社は「メールの添付ファイルは短時間で解読できる」と警告する。ウェブサイトのログインなどは、パスワード入力を一定数失敗するとロックされる仕組みが多い
Microsoftがクラウドコンピューティングプラットフォーム「Azure」を利用して、多くのユーザーがパスワード入力なしでログインできるようにしようとしている。 Microsoftは米国時間3月2日に開幕した「Ignite」カンファレンスの中で、「Azure Active Directory(Azure AD)」の標準機能としてパスワードレス認証を提供すると発表した。Azure Active Directoryは、従業員のログインに関連する処理に使用できるクラウドベースのサービスだ。Igniteは、Microsoftの製品を使用するITなどの技術担当者を対象とした3日間にわたるカンファレンスで、2021年は新型コロナウイルスの影響でオンライン開催となっている。 これとは別に、Microsoftは困難が伴う可能性のあるパスワードレス化への移行を円滑化するための新技術として「Temporar
CES 2025 updates: Live coverage of all the biggest tech, AI and gadget news from Las VegasSee the biggest announcements from NVIDIA, Sony, Samsung and more.
週末に妻の友人が家に遊びにくることになった。我が家ではタグVLANでゲストネットワークを作り、それに繋げられる専用のSSID/パスワードを用意している。せっかくならこれを使ってもらいたい。自動生成したパスワードを手打ちするのは面倒なので、簡単に利用してもらえる方法をいくつか試してみた。 QRコードで設定する ZXingというライブラリの仕様が広く一般に利用されているようで(要出典)、これに沿ってQRコードを作っておけばiOS/AndroidデフォルトのQRコードリーダーでWi-Fiの設定をすることができる。 具体的には以下のようなテキストをQRコード化しておけば良い。 WIFI:T:WPA;S:${SSID};P:${PASSWORD};; ポストカードに印刷するのもよさそう。 NFCで設定する (主にAndroid向け) NFCに資格情報を書き込み、端末でタッチすることでWi-Fiの設定
関連キーワード ネットワーク・セキュリティ | 脆弱性 | Wi-Fi 小規模事業所や家庭にある無線LANルーターの大半が、単純で安価なハッキング装置を使った攻撃で不正侵入可能だということを、研究者が突き止めた。これを明らかにしたのは特権ID管理ベンダーCyberArkのチームだ。同チームがイスラエルのテルアビブで実施した調査の結果、調査実施場所にある無線LANルーターのパスワードの約70%は、無線LANスニッフィングツール(盗聴ツール)やパスワード解析ツールを使って突破できることが分かった。 併せて読みたいお薦め記事 「無線LAN」についてもっと詳しく 「Wi-Fi 6E」が平凡になって「Wi-Fi 7」が超絶 無線LANの行く末は いまさら聞けない「無線LAN」「Wi-Fi」の違いとは? 混同してはいけない理由 いまさら聞けない「無線LANアクセスポイント」「無線LANルーター」の違い
パスキーのクレデンシャルがベンダ間で交換可能に、業界標準「Credential Exchange Specifications」ワーキングドラフトをFIDOアライアンスが公開 パスワードレスを実現する業界標準「パスキー」(Passkey)の仕様策定や推進を行っているFIDOアライアンス(ファイドアライアンス)は、クレデンシャルを安全に交換するための新仕様「Credential Exchange Specifications」のワーキングドラフトを発表しました。 これによりユーザーはパスキーやその他すべてのクレデンシャルを、異なるベンダ間であっても安全に移動や交換できるようになります。 例えば、Googleパスワードマネージャに保存されたパスキーのクレデンシャルをAppleアカウントのiCloudキーチェーンへ移動してiPhoneでパスキーを使う、あるいは1Passwordなど他のパスワード
近年、業務を行う上でWebサービスの利用は欠かせないものになっています。しかし一方で、不十分なパスワード管理によって不正ログイン等の被害を受けてしまうケースも後を絶ちません。 そこで、今回はWebアプリケーションのセキュリティーの専門家である徳丸浩さんにインタビューを行い、パスワードなどのログイン情報を管理する上で必要な知識や考え方について、お話を伺いました。 Webサービスを安全にご利用いただくために、役立つ情報をたくさん教えていただきましたので、ぜひご覧ください。 話し手:徳丸 浩 1985年京セラ株式会社に入社後、ソフトウェアの開発、企画に従事。1999年に携帯電話向け認証課金基盤の方式設計を担当したことをきっかけにWebアプリケーションのセキュリティーに興味を持つ。2004年同分野を事業化。 2008年独立して、Webアプリケーションセキュリティーを専門分野とするHASHコンサルテ
このたび、LINE公式アカウントなどの利用に必要なLINEビジネスIDの一部において、第三者(以下、攻撃者)の不正ログインによるアカウントの乗っ取りが発生いたしました。その結果、被害にあったLINEビジネスIDに紐づくLINE公式アカウントを友だち追加しているユーザーにおいて、攻撃者から当該のLINE公式アカウントとのやり取りの一部が閲覧されたり、不審なメッセージが送付されたりしたことを確認いたしました。 本件の概要とアカウントの乗っ取りへの対応策について、下記のとおりご報告いたします。 なお、現時点で判明している不正ログインの被害にあったLINEビジネスIDにつきましては、ログインセッションの無効化(強制的なログアウト措置)およびパスワードの初期化を実施しております。 また、アカウントの乗っ取りによる影響のあったユーザーの皆さま、および不正ログインの被害にあったLINEビジネスID・LI
Save up to 35% on LastPass today! Secure your digital life with this limited-time offer.Save 30% on LastPass Please refer to the latest article for updated information. Update as of Thursday, December 22, 2022 To Our LastPass Community, We recently notified you that an unauthorized party gained access to a third-party cloud-based storage service, which LastPass uses to store archived backups of ou
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
![HDDの書き込み技術が20年ぶりに変わる。Seagateがいち早く製品化した「HAMR」技術とは ~BarraCudaやIronWolfなど、30TB時代の用途別の選び方も解説[Sponsored]](https://cdn-ak-scissors.b.st-hatena.com/image/square/72ffe67e99721b55b9c77f5650b29a41d89c7915/height=288;version=1;width=512/https%3A%2F%2Fsiteproxy.ruqli.workers.dev%3A443%2Fhttps%2Fpc.watch.impress.co.jp%2Fimg%2Fpcw%2Flist%2F2017%2F179%2F01.jpg)
