安全対策: 2013年5月アーカイブ

「ヤフーの不正アクセス、不可逆暗号のパスワードや「秘密の質問」も流出の可能性」
http://japan.cnet.com/news/business/35032466/

暗号化されたパスワードも、解析されると暗号化される前の生のパスワードを知られる恐れがあります。
24日(今日)に該当するユーザーは再設定が促されるそうですが、
該当している人はもちろん、該当しない人でも、念のためにパスワードを再設定された方がいいと思います。
(私もすでに再設定しました。ちなみにパスワードは記号を含めた20桁くらいの長いものにした方がいいです)
なおかつ、さらに慎重を期してワンタイムパスワードやシークレットIDを設定されるとよいでしょう。

秘密の質問については、元々再設定ができない仕様だった模様?(未確認)

というか、設定した秘密の質問の「答え」を平文のまま保存していたって本当なの? 危険すぎるし漏れたら内容によってはいろんな意味で困るだろ。
困る以前に、あまりにユニーク(可笑しいという意味でなく、他にはないという意味)な情報を設定していた場合は、個人が特定されてしまう危険性すらあるんだし。

ネットはこういうことがあるから怖いですね^^;

追記:読売新聞のニュースで、もっと突っ込んだ内容が書いてあります。
http://www.yomiuri.co.jp/net/security/goshinjyutsu/20130524-OYT8T00882.htm
そうですね。確かに、他サイトのアカウントの方が狙われる可能性は高いですね。
パスワードの使い回しはもちろんダメですし、パスワードはサービス毎に変えていたとしても、秘密の質問は回答を使い回している人は意外と多いかもしれません。
これを機に、利用しているすべてのサービスのパスワードと秘密の質問を見直すのも良いと思います。

■お勧めのパスワード・秘密の質問の管理方法
とにかく、パスワードの使い回しはダメです><
私は以下のように管理しています。

パスワード管理ソフトを使って、利用するサービス毎に個別のパスワードを設定、同ソフトで管理する。
・各サービスのパスワードは、できる限り「記号を含めた20桁以上」のものにする(サービス側の仕様で無理な場合でも、できるかぎり複雑にする)。大抵のパスワード管理ソフトには、複雑なパスワードの生成機能が備わっているので、その機能を利用する。
・パスワード管理ソフトのマスターパスワードはとにかく長く複雑なモノにする。各サービスのパスワードは、管理ソフトでその都度確認すればいいのだから、覚えなければならないパスワードは、このパスワード管理ソフトのマスターパスワードのみ。これだけ覚えていれば良いのだがら、複雑なものでも我慢して覚えよう。絶対にどこかにメモったりしないこと。
・パスワード管理ソフトで管理しているパスワード情報ファイルは、オンラインストレージなどのWeb上にはアップロードしない。
・サービスによって、ワンタイムパスワードや2段階ログインなどのセキュリティ対策を取っている場合があるので、できるだけ利用する。

パスワードを「記号を含めた20桁以上のもの」に設定しておけば、ハッシュ化(暗号化)されたパスワードが流出した場合でも、パスワード特定までに時間を稼げます。(ただし、サービスごとにパスワード、秘密の質問の使い回しをしていないことが前提です)
セキュリティリスクが判明したら、できる限り早くパスワードと秘密の質問を変更しましょう。

このアーカイブについて

このページには、2013年5月以降に書かれたブログ記事のうち安全対策カテゴリに属しているものが含まれています。

前のアーカイブは安全対策: 2013年3月です。

次のアーカイブは安全対策: 2013年10月です。

最近のコンテンツはインデックスページで見られます。過去に書かれたものはアーカイブのページで見られます。