スポンサーサイト

上記の広告は1ヶ月以上更新のないブログに表示されています。
新しい記事を書く事で広告が消せます。

10月15日のtwitterセキュリティクラスタ

昨日に引き続き、パスワードを定期的に変えるか否かという話題。セキュリティ基準で定められているというのも大きいのかもしれませんね。
piyokango: ただ、PCIDSS(v1.2)だと90日最長で変更が強要される。担当者が変わったときの変更とかは触れられていない。

piyokango: 定期的な変更よりも、イベントドリブン的に担当者変更や不正アクセスのようなものが何か起こったときとかに検知と変更ができる仕組みは必要だと思う。

piyokango: パスワードの定期的変更の話が。。。自分は意味がないと考える派。

ikepyon: 定期的なパスワード変更って、どうしてもサイクリックしちゃうよねwうちの会社も3ヶ月に1回の変更が必要で、3回分ぐらい記憶してるので、4つのパスワードを順番に使ってるのが現状w(変なのに変えると忘れちゃうもんw



そして、話題は銀行のログインについて。各銀行のログインについてなんかまとめるという話があったような気がするのですが… Wikiとか使えばいいのかな。
ikepyon: 三井住友に比べれば、ジャパンネットバンクのワンタイムパスワードの使われ方は霞むw SecureIDくばってんのにログインのパスワードは固定パスワードだったりするw振込みとかにはワンタイムパスワード使うけどなw

ikepyon: ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

sagami22: いやそれsmbcもトークン使わなければ一緒w RT @ikepyon ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

ikepyon: トークン使えるだけまし、4桁の暗証番号しかないのですよw RT: @sagami22: いやそれsmbcもトークン使わなければ一緒w RT @ikepyon ちなみに、ジャパンネット銀行の携帯サイトへのログインは4桁の暗証番号がパスワードだったりするwこれは勘弁して欲しいw

ockeghem: @ikepyon ジャパンネットバンク方式の方が、ワンタイムトークンの使い方は妥当だと思いますけどね

ikepyon: ジャパンネットバンクはパスワード忘れたとき、リセットに手数料取るんだよねぇorzそれが嫌なら、携帯サイトからパスワード変更しろと。そのときはワンタイムパスワードが必要なんだけど・・・そんなことするなら、ログインパスワードもワンタイムパスワードにして欲しい

ockeghem: @ikepyon あのトークンが生成するワンタイムパスワードは数字6桁ですから、1回の試行で100万分の1の確率でビンゴするわけでしょ。通常のパスワードとして使うには弱いと思いますけど

ikepyon: @ockeghem ま、そうですけど、さすがに1分間に100万回の試行を行ったらばれるでしょうし、簡単なパスワードをつけられて、それによる被害を補填しろと言われるよりはましだと思います。

ikepyon: 銀行のパスワードって難しいのつけるんだけど、あんまり使わないから、ちょくちょく忘れるw

ockeghem: @ikepyon 振り込みの時はワンタイムパスワード入力するわけだから、そこで止めるという考え方でしょう。三井住友方式だと、セッションハイジャックされた後は乱数表だけですから

ockeghem: @ikepyon 一分以内に100万回試行しなくても、ゆっくり時間を掛けて試しても、統計的にはいつかはあたりますよ(外れ続ける確率は無限に小さくなると言う意味で)

ikepyon: @ockeghem ま、そうなんですけどね。少なくとも、携帯サイトは何とかして欲しいです。現状4桁の暗証番号ですから・・・

ikepyon: 確か、残高とか、口座の入出金情報は駄々もれなんだよなぁ

ockeghem: @ikepyon 4桁の暗証番号はひどいですね

ikepyon: @ockeghem そうなんですよ^^;おかげで、パスワードが変更できて助かったことはあるのですけどw

ockeghem: @ikepyon @sagami22 まだ見ていないんですが、かんたんログインですか? キャリア公式の認証ではなくて?

ikepyon: これはひどい・・・ RT: @sagami22: @ikepyon すいません、今見たらsmbcは携帯サイト(au)は4桁暗証とかんたんログインだけっぽい…

sagami22: ez番号登録⇒契約者番号省略でパスワード(4桁)は必要なんで、いわゆるかんたん某ではない…ですかね。 RT @ockeghem @ikepyon @sagami22 まだ見ていないんですが、かんたんログインですか? キャリア公式の認証ではなくて?



そして、話題はソフトウェアキーボードへ。個人的には面倒なので使いませんが、あれって何かいいことあるのでしょうか。
ikepyon: 楽天、SBIはソフトウェアキーボード無いみたいだけど、それ以外のネット証券会社結構ソフトウェアキーボード持ってるみたいorz

ockeghem: えーっと、興味がないので忘れてしまっていたけど、ソフトウェアキーボードの目的って、スパイウェア対策だったっけ?

ikepyon: @ockeghem そのようです。キーロガー対策みたいです。

ikepyon: カード会社で流行ってないのはPCIDSSで言って無いからか?w

ockeghem: @ikepyon @sachikoy @kjur そうそう、キーロガー対策でしたね。キーロガーに入られてしまった時点で終わりだろうにね

ikepyon: なるほど。安いからと言って、偽のセキュリティ対策は困りますねぇorz RT: @connect24h: ソフトウェアキーボードは安いからね。カード会社は、意味がない事を知っているからやってない。

ockeghem: 『クリックする際にキーの内容を消すことで…クリックと同時に画面情報を盗み取るタイプのスパイウェアから防御できます』<これは使いにくい。英数字8桁まで、大文字小文字の区別なし。かえって安全でない / お使いのパソコン、本当に大丈夫ですか?… http://htn.to/jW8wbs

ikepyon: 使う側からすれば、それでいいんですけどね。それがセキュリティ対策だと胸張っていわれると・・・ RT: @ockeghem: @ikepyon ソフトウェアキーボードがあっても、使わなくてもよいなら、別にいいですけどね

ikepyon: これはだめだろw http://www.dai-ichi-life.co.jp/contractor/internet/faq/login.html#a08 画面情報を読み取るスパイウェアが入ってる時点で、ソフトウェアキーボードでもパスワード取られちゃうからw




librahackでは、突っ込まれまくりの業者がいよいよ大変な状況になってきたようですね。
Vipper_The_NEET: 「その後の調査により、更に中野区立図書館様(2名分)の個人情報が」 お前らが調査したわけじゃねえだろ( ´ー`)y-~~~ #librahack

bakera: [メモ] 「その後の調査により……判明」というのは、「その後の(たりきさんの)調査により判明」という意味ですかね。 http://www.mdis.co.jp/news/topics/2010/1015.html

rakugodesi: @Vipper_TheNEET 「弊社は現在、流出原因となった製品への個人情報混入等の詳細について、各図書館様のご了解を得て現地調査を進めており」と矛盾してる。

Dullahan: #librahack 『図書館システム 業者の契約解除』( http://bit.ly/dyBQWq )



@ikepyonさんって池田雅一さんだったんですね。
ockeghem: 池田容疑者は、きっとセキュリティにも詳しかったのでしょうねw RT @sen_u: 池田容疑者。w RT @ikepyon: あんなので、ぼろもうけできると思っていたのがめでたいなぁ / タダ乗りネット:ネット通販にも出店 機器、大量販… http://htn.to/zvjjgm

ikepyon: 誰かツッコむかなぁとは思ってましたwちなみに親族ではありません RT: @sen_u: 池田容疑者。w



その他気になったことはこのへん。

yumano: @a4lg F.Y.I です。 マルウェアの解析妨害機能を回避せよ!~ステルスデバッガ開発秘話 ってのがRSA カンファレンス2010であったみたい https://rsacon2010.smartseminar.jp/public/session/view/38



a4lg: @yumano なるほど、NTT もステルスデバッガの研究やってるんですね。ただ HVM ベースのデバッガ研究って結構盛んな割にやってることが既知のデバッガとそんなに変わらない気がするのですが、気のせいでしょうか? 私の場合それを超えたいというのもモチベのひとつなので。



ockeghem: これは重要。振り返りに備えて今のうちに調査を済ませておこう>自分 / 携帯サイト閲覧時の重要なお知らせ | SoftBank http://htn.to/K8jo8



masa141421356: 某サイトのHTTP404ページにcharset指定が無くて、もう少しで陥落しそうなんだけどなかなかうまくいかない。



ikepyon: もしかしてりそなはログインIDが間違ったときとパスワードが違ったときでエラーが違う? http://www.resona-gr.co.jp/resonagr/direct/help/kihon/login.html#040
スポンサーサイト

テーマ : セキュリティ
ジャンル : コンピュータ

コメントの投稿

非公開コメント

プロフィール

bogus

Author:bogus
FC2ブログへようこそ!

最新記事
最新コメント
最新トラックバック
月別アーカイブ
カテゴリ
検索フォーム
RSSリンクの表示
リンク
ブロとも申請フォーム

この人とブロともになる

QRコード
QR
カレンダー
06-2017
SUN MON TUE WED THU FRI SAT
- - - - 1 2 3
4 5 6 7 8 9 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 -

05   07

上記広告は1ヶ月以上更新のないブログに表示されています。新しい記事を書くことで広告を消せます。