いつも忘れるのでメモ。 元ネタ:Are you sure SHA-1+salt is enough for passwords? 日本語訳:「SHA-1+salt」はパスワードに十分だと思いますか? こうしたスキームをいくつか選ぶことができる: PBKDF2 http://en.wikipedia.org/wiki/PBKDF2 Bcrypt http://www.openwall.com/crypt/ HMAC http://en.wikipedia.org/wiki/HMAC 各選択肢はそれぞれの強みと弱みがあるが、これらは全てSHA1+saltのような汎用ハッシュのインプリメンテーションより、はるかに強力だ。 ということで、各言語での実装を調べてみた。実装が正しいかは調べてない。別実装もあるかもしれない。 言語 PBKDF2 Bcrypt HMAC Java Bouncy Castl
CYBER MONDAY WEEK 🤑 Get 30% off your TNW for Startups or Scaleups packages when you use code CYBER30 only until December 4 → Microsoft doesn’t like long passwords. In fact, the software giant not only won’t let you use a really long one in Hotmail, but the company recently started prompting users to only enter the first 16 characters of their password. As you can see in the screenshot above, cour
Ever been told not to reuse the same password across different websites? With this add-on, you can visualize your passwords and the sites you use them on. By looking at this visualization, you can get a quick idea of which passwords you've been using the most, and the kinds of sites you're using them on. As you continue to change your passwords and update your password manager, the picture will im
Features Visual hashing modifies the password input widgets on every page across the web by causing the background of the input to change as the user types to a four color image hash. This hash is calculated from the unsalted SHA1 hash of what has been typed, and is the same (for a given password) across different sites and even browsers. This consistency will help the user realize if they have en
最近、パスワードにまつわる重大な脆弱性を見かけることが多いように思いますので、その中から4つを選んで紹介します。既に私のブログで紹介したものや、少し古い問題も含まれます。 PHP5.3.7のcrypt関数がハッシュ値を返さない脆弱性 crypt関数は、様々なハッシュアルゴリズムによるソルト化ハッシュを返す関数ですが、PHP5.3.7(2011年8月18日リリース)において、crypt関数にMD5を指定した場合、ハッシュ値を返さない(ソルトは返す)バグがありました。私のブログエントリにて説明したように、最悪ケースでは任意のパスワードで認証できてしまう状況があり得ました。 PHP5.3.7のcrypt関数に致命的な脆弱性(Bug #55439) | 徳丸浩の日記 PHP :: Bug #55439 :: crypt() returns only the salt for MD5 このバグが混入
先日、こんな記事を見かけました。 iPhoneの画面ロックを解除するためのパスワードに、かなりの人が『1234』や『0000』を使っているという記事です。ロックの意味がありません。こういうの、あらゆる場面でもう100万回くらい警告されているはずですが、一向になくならないですね。人間は痛い目に遭って初めて学習するので、まあ仕方ない事です。 で、多分何度か言っている事ですが、iPhoneなどの端末に、パスワードの逆の働きをする『逆パスワード』をつけて欲しいです。『0000』や『1234』、自分の生年月日などを逆パスワードに設定しておくと、そのワードが入力されたら起動ロック、カメラで写真を撮り、GPSで現在位置を取得して、あらかじめ決めてあるメールアドレスに送信する、という機能です。 この機能があると、端末を盗んだり拾ったりしても、うかつに適当なパスワードを入れてみる、という事がしづらくなります
連日のソニーグループを狙ったハッキング事件だけで100万件以上のパスワードが漏えいしているので、そのハッシュ化されてたり、されてなかったりするパスワードの分析や解析などを誰かやるだろうなァと思っていたら公開されていました。 Troy Hunt: A brief Sony password analysis 以下の観点について分析がなされています。 長さ 文字空間(文字の種類) 乱数 一意性 この中で興味深かったのは、パスワード再利用(Password reuse)についてでした。 ソニーグループの異なるデータベースで、同じメールアドレスの場合、同一アカウントと見なして、その2000アカウントでパスワードが異なるかどうかを調べた物です。 その結果、92%がパスワードを使い回しているという結果が出ています。私の想像よりも多いですね。 ソニーとGawkerで比較した場合でも67%が使い回しだと判
最近パスワードが何者かに持ち出されるなど、定期的なパスワードの変更が求められるような機会が多くなっています。 そんな中、今から約1ヶ月前。Twitterタイムライン上で、次のような画期的な提案が発表されました。 先輩「暗証番号やパスワードには嫁の誕生日を使うのがいい」僕「なんでですか?」先輩「3ヶ月ごとに変わって安全だから」僕「先週も最終回ありましたしね」 2011-04-24 13:32:44 via web 僕もこれに感銘し、これまで「hogehoge」だったパスワードを「homuhomu」に変更*1。これですべてが上手くいったと思っていました。 しかし、マイクロソフトさんのパスワードチェッカで確認したところ。 ほむほむ弱い子……orz しかし、同じページにはそんな僕へのアドバイスがありました。 強力なパスワードをつくるために、「覚えられる文章を考えます。」と。 ということで文章化。
When I talk to people who aren’t security researchers about history sniffing, they want to know whether they should worry about it, and I say no: the only thing you can do to protect yourself is use the latest version of your favorite browser, which you should do anyway; besides, the interactive attacks will probably never appear in the wild. But if I only ever talk about computer security topics
Options menu of the random password generation tool in KeePass. Enabling more character subsets raises the strength of generated passwords a small amount, whereas increasing their length raises the strength a large amount. Password strength is a measure of the effectiveness of a password against guessing or brute-force attacks. In its usual form, it estimates how many trials an attacker who does n
最近はてなあたりを震源地に「パスワードの定期的変更は意味があるか?」という話題がちょっと盛り上がっていた。 その中で面白いと思ったのはこちら。 パスワードの定期変更は「神話」なのか? - ockeghem(徳丸浩)の日記 私の職場でもネットワークに繋がるパソコンは検疫サーバのセキュリティポリシーで30日ごとにパスワードを変更することが義務づけられている。 変更を怠るとログインそのものができなくなって、自分の会社のネットワークから締め出される。 それで結論を先に書くと私もこのパスワードを定期的に変更するという「セキュリティ対策」はほぼ無意味で、「ちゃんと対策やっています」というアピール以外に何の役にも立たないと思っている。 多分こういう対策を支持する人の言い分は大体こういうことに集約されると思う。 「パスワードが漏洩しても定期的に変更していれば新しいパスワードはわからないから安全ではないか」
しばしば「パスワードは○日ごとに変更しましょう」といわれるけれど、それで本当にクラックの危険性は減るの? ペネトレーションテストの現場から検証します(編集部) ※ご注意 本記事に掲載した行為を自身の管理下にないネットワーク・コンピュータに行った場合は、攻撃行為と判断される場合があり、最悪の場合、法的措置を取られる可能性もあります。また、今回紹介するツールの中には、攻撃行為に利用されるという観点から、アンチウイルスソフトにウイルスとして検出されるものも存在します。このような調査を行う場合は、くれぐれも許可を取ったうえで、自身の管理下にあるネットワークやサーバに対してのみ行ってください。また、本記事を利用した行為による問題に関しましては、筆者およびアイティメディア株式会社は一切責任を負いかねます。ご了承ください。 今回は久しぶりに、ペネトレーションテストの現場の話から始めよう。 ペネトレーショ
以下の文章は、Bruce Schneier による When to Change Passwords(初出は Dark Reading 2010年11月10日)の日本語訳である。 どれくらいの頻度でパスワードを変えるべきか? 私はそうした質問をよく受けるが、それを言ってくるのは大抵、会社や銀行のパスワードの有効期限ポリシーに悩まされている人たち――ようやく今のパスワードを覚えたと思ったら、新しいパスワードを書き留めなければならないのに気付いている人たちだ。一体どれくらいの頻度だとより安全になるのか、彼らはそれを知りたがっている。 その答えは、パスワードが何に使われるかによる。 パスワードを変えることの欠点は、覚えにくくなることだ。だから人にパスワードを定期的に変えるよう強いれば、彼らは何年も同じパスワードを使える場合よりも覚えやすい――つまり推測しやすい――パスワードを選ぶ可能性が高い。よ
パスワード保存の常識(?) •自己紹介 •パスワード保存の常識(?)の復習 •鍵を利用したパスワード保存案 •まとめ 自己紹介 •ECナビ システム本部 春山征吾 @haruyama •セキュリティ •OpenSSH (本x2, OpenSSH情報) •暗号技術大全 •18章(ハッシュ), 20章(電子署名)翻訳担当 •全文検索システム Apache Solrの勉強会開催 •次回は11/19(金)予定 資料 •本資料 •http://goo.gl/A3Uf •本日用のネタページ •http://goo.gl/UIwW (ゆー あい だぶ だぶ) パスワード保存の常識(?) 保存 •saltを付けてハッシュ化 •保存された情報からはパスワードは復元困難 照合 •入力値にsaltを付けてハッシュ化. 保存情報と照合 GNU/Linuxでのパスワード保存 他のUnixも同様 形式 $id$sal
ITProの記事が契機となって、PCIDSS(PCIデータセキュリティ規準)およびパスワードに関する規定が話題となっている*1。 「パスワードは90日ごとの変更」が義務づけられる!? | 日経 xTECH(クロステック) それに対して,PCIDSSは表現が具体的である。現在のバージョン1.1ではパスワードについて下記のような規定がある。 ■要件8.5.8 グループ、共有または汎用のアカウントとパスワードを使用しないこと。 ■要件8.5.9 ユーザー・パスワードは少なくとも90日ごとに変更する。 http://itpro.nikkeibp.co.jp/article/OPINION/20080220/294287/ このうち、要件8.5.9「ユーザー・パスワードは少なくとも90日ごとに変更する」に関して疑問を持った。これはいわゆる「セキュリティの常識」という奴の一つではあるが、実際のところ、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
