Enviar búsqueda
Cargar
いまさら聞けないパスワードの取り扱い方
•
135 recomendaciones
•
56,998 vistas
Hiroshi Tokumaru
Seguir
OWASP Japan 7th Chapter Meeting
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 29
Descargar ahora
Descargar para leer sin conexión
Recomendados
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
Taku Miyakawa
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG CCC 2021 Spring)
PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG CCC 2021 Spring)
Koichiro Matsuoka
イミュータブルデータモデルの極意
イミュータブルデータモデルの極意
Yoshitaka Kawashima
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
Yoshitaka Kawashima
PHP-FPM の子プロセス制御方法と設定をおさらいしよう
PHP-FPM の子プロセス制御方法と設定をおさらいしよう
Shohei Okada
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
Recomendados
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
SQLアンチパターン 幻の第26章「とりあえず削除フラグ」
Takuto Wada
Javaのログ出力: 道具と考え方
Javaのログ出力: 道具と考え方
Taku Miyakawa
本当は恐ろしい分散システムの話
本当は恐ろしい分散システムの話
Kumazaki Hiroki
PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG CCC 2021 Spring)
PostgreSQLの行レベルセキュリティと SpringAOPでマルチテナントの ユーザー間情報漏洩を防止する (JJUG CCC 2021 Spring)
Koichiro Matsuoka
イミュータブルデータモデルの極意
イミュータブルデータモデルの極意
Yoshitaka Kawashima
イミュータブルデータモデル(入門編)
イミュータブルデータモデル(入門編)
Yoshitaka Kawashima
PHP-FPM の子プロセス制御方法と設定をおさらいしよう
PHP-FPM の子プロセス制御方法と設定をおさらいしよう
Shohei Okada
SQL大量発行処理をいかにして高速化するか
SQL大量発行処理をいかにして高速化するか
Shogo Wakayama
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
例外設計における大罪
例外設計における大罪
Takuto Wada
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
Hiroshi Tokumaru
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
泰 増田
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
増田 亨
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
gree_tech
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
Kentaro Matsui
リッチなドメインモデル 名前探し
リッチなドメインモデル 名前探し
増田 亨
Djangoフレームワークのユーザーモデルと認証
Djangoフレームワークのユーザーモデルと認証
Shinya Okano
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
infinite_loop
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
RLSを用いたマルチテナント実装 for Django
RLSを用いたマルチテナント実装 for Django
Takayuki Shimizukawa
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
ログイン前セッションフィクセイション攻撃の脅威と対策
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
Más contenido relacionado
La actualidad más candente
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
Hiroshi Ito
例外設計における大罪
例外設計における大罪
Takuto Wada
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
貴志 上坂
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
zaki4649
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
zaki4649
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Amazon Web Services Japan
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
Hiroshi Tokumaru
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
Hiroshi Tokumaru
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
泰 増田
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
増田 亨
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
kazuki kumagai
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
gree_tech
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
Kentaro Matsui
リッチなドメインモデル 名前探し
リッチなドメインモデル 名前探し
増田 亨
Djangoフレームワークのユーザーモデルと認証
Djangoフレームワークのユーザーモデルと認証
Shinya Okano
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
infinite_loop
TLS, HTTP/2演習
TLS, HTTP/2演習
shigeki_ohtsu
RLSを用いたマルチテナント実装 for Django
RLSを用いたマルチテナント実装 for Django
Takayuki Shimizukawa
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
Shinsuke Sugaya
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Yahoo!デベロッパーネットワーク
La actualidad más candente
(20)
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
データ履歴管理のためのテンポラルデータモデルとReladomoの紹介 #jjug_ccc #ccc_g3
例外設計における大罪
例外設計における大罪
Azure API Management 俺的マニュアル
Azure API Management 俺的マニュアル
とある診断員と色々厄介な脆弱性達
とある診断員と色々厄介な脆弱性達
とある診断員とSQLインジェクション
とある診断員とSQLインジェクション
マルチテナント化で知っておきたいデータベースのこと
マルチテナント化で知っておきたいデータベースのこと
Webアプリでパスワード保護はどこまでやればいいか
Webアプリでパスワード保護はどこまでやればいいか
SPAセキュリティ入門~PHP Conference Japan 2021
SPAセキュリティ入門~PHP Conference Japan 2021
PlaySQLAlchemy: SQLAlchemy入門
PlaySQLAlchemy: SQLAlchemy入門
ドメイン駆動設計のための Spring の上手な使い方
ドメイン駆動設計のための Spring の上手な使い方
ぱぱっと理解するSpring Cloudの基本
ぱぱっと理解するSpring Cloudの基本
Amazon EKS によるスマホゲームのバックエンド運用事例
Amazon EKS によるスマホゲームのバックエンド運用事例
テスト文字列に「うんこ」と入れるな
テスト文字列に「うんこ」と入れるな
リッチなドメインモデル 名前探し
リッチなドメインモデル 名前探し
Djangoフレームワークのユーザーモデルと認証
Djangoフレームワークのユーザーモデルと認証
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
大規模ソーシャルゲーム開発から学んだPHP&MySQL実践テクニック
TLS, HTTP/2演習
TLS, HTTP/2演習
RLSを用いたマルチテナント実装 for Django
RLSを用いたマルチテナント実装 for Django
SolrとElasticsearchを比べてみよう
SolrとElasticsearchを比べてみよう
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
Destacado
ログイン前セッションフィクセイション攻撃の脅威と対策
ログイン前セッションフィクセイション攻撃の脅威と対策
Hiroshi Tokumaru
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
Hiroshi Tokumaru
辞書攻撃をする人は何をどう使っているのか
辞書攻撃をする人は何をどう使っているのか
ozuma5119
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
Hiroshi Tokumaru
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
Yosuke HASEGAWA
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
Hiroshi Tokumaru
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
Takuya Sato
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
Yosuke HASEGAWA
90分間濃縮 PHPエラーの教室
90分間濃縮 PHPエラーの教室
Yusuke Ando
XSS再入門
XSS再入門
Hiroshi Tokumaru
レインボーテーブルを使ったハッシュの復号とSalt
レインボーテーブルを使ったハッシュの復号とSalt
Ryo Maruyama
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
Minoru Sakai
徳丸本ができるまで
徳丸本ができるまで
Hiroshi Tokumaru
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
Hiroshi Tokumaru
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
Masakazu Ikeda
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
Hiroshi Tokumaru
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
zaki4649
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Hiroshi Tokumaru
Webアプリって奥が深いんです
Webアプリって奥が深いんです
abend_cve_9999_0001
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Muneaki Nishimura
Destacado
(20)
ログイン前セッションフィクセイション攻撃の脅威と対策
ログイン前セッションフィクセイション攻撃の脅威と対策
徳丸本に載っていないWebアプリケーションセキュリティ
徳丸本に載っていないWebアプリケーションセキュリティ
辞書攻撃をする人は何をどう使っているのか
辞書攻撃をする人は何をどう使っているのか
文字コードに起因する脆弱性とその対策(増補版)
文字コードに起因する脆弱性とその対策(増補版)
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
HTML5のセキュリティ もうちょい詳しく- HTML5セキュリティその3 : JavaScript API
安全なPHPアプリケーションの作り方2014
安全なPHPアプリケーションの作り方2014
PHPでセキュリティを真面目に考える
PHPでセキュリティを真面目に考える
他人事ではないWebセキュリティ
他人事ではないWebセキュリティ
90分間濃縮 PHPエラーの教室
90分間濃縮 PHPエラーの教室
XSS再入門
XSS再入門
レインボーテーブルを使ったハッシュの復号とSalt
レインボーテーブルを使ったハッシュの復号とSalt
130821 owasp zed attack proxyをぶん回せ
130821 owasp zed attack proxyをぶん回せ
徳丸本ができるまで
徳丸本ができるまで
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
徳丸本に学ぶ 安全なPHPアプリ開発の鉄則2011
脆弱性検査ツールってどうよ
脆弱性検査ツールってどうよ
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
CMS四天王への攻撃デモを通じて、WordPressの効果的な防御法を学ぼう
フリーでやろうぜ!セキュリティチェック!
フリーでやろうぜ!セキュリティチェック!
安全なPHPアプリケーションの作り方2016
安全なPHPアプリケーションの作り方2016
Webアプリって奥が深いんです
Webアプリって奥が深いんです
Mozillaの報奨金制度で200万円ほど稼いだ話
Mozillaの報奨金制度で200万円ほど稼いだ話
Similar a いまさら聞けないパスワードの取り扱い方
安全なPHPアプリケーションの作り方2013
安全なPHPアプリケーションの作り方2013
Hiroshi Tokumaru
Web時代の大富豪的プログラミングのススメ
Web時代の大富豪的プログラミングのススメ
Hideyuki Takeuchi
平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ
Yuki Hirano
20140828 #ssmjp 社内チューニンガソンで優勝したはなし
20140828 #ssmjp 社内チューニンガソンで優勝したはなし
Masahiro NAKAYAMA
ゆるかわPhp
ゆるかわPhp
Ryota Mochizuki
AWSスポットインスタンスの真髄
AWSスポットインスタンスの真髄
外道 父
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
Masatoshi Tada
DApps のユーザ認証に web3.eth.personal.sign を使おう!
DApps のユーザ認証に web3.eth.personal.sign を使おう!
Drecom Co., Ltd.
20141017 introduce razor
20141017 introduce razor
do_aki
blogサービスの全文検索の話 - #groonga を囲む夕べ
blogサービスの全文検索の話 - #groonga を囲む夕べ
Masahiro Nagano
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
Tatsuo Kudo
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
MITSUNARI Shigeo
20150221 めとべや東京-プライベートコード共有サービス
20150221 めとべや東京-プライベートコード共有サービス
Takayoshi Tanaka
A3RT - the details and actual use cases of "Analytics & Artificial intelligen...
A3RT - the details and actual use cases of "Analytics & Artificial intelligen...
DataWorks Summit/Hadoop Summit
A3RT -The details and actual use cases of“Analytics & Artificial intelligence...
A3RT -The details and actual use cases of“Analytics & Artificial intelligence...
Recruit Technologies
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
de:code 2017
クラウド時代を生き残る経営戦略策定のススメ「クラウドは敵か?味方か?」(山口・岡山)
クラウド時代を生き残る経営戦略策定のススメ「クラウドは敵か?味方か?」(山口・岡山)
Serverworks Co.,Ltd.
テスト駆動インフラ構築-Chefとserverspecを使ったインフラ自動化のすすめ-
テスト駆動インフラ構築-Chefとserverspecを使ったインフラ自動化のすすめ-
賢 秋穂
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
Masahiro Kiura
中小規模サービスのApacheチューニング
中小規模サービスのApacheチューニング
勲 國府田
Similar a いまさら聞けないパスワードの取り扱い方
(20)
安全なPHPアプリケーションの作り方2013
安全なPHPアプリケーションの作り方2013
Web時代の大富豪的プログラミングのススメ
Web時代の大富豪的プログラミングのススメ
平成21年度 秋期 cs 午前ⅱ
平成21年度 秋期 cs 午前ⅱ
20140828 #ssmjp 社内チューニンガソンで優勝したはなし
20140828 #ssmjp 社内チューニンガソンで優勝したはなし
ゆるかわPhp
ゆるかわPhp
AWSスポットインスタンスの真髄
AWSスポットインスタンスの真髄
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装
DApps のユーザ認証に web3.eth.personal.sign を使おう!
DApps のユーザ認証に web3.eth.personal.sign を使おう!
20141017 introduce razor
20141017 introduce razor
blogサービスの全文検索の話 - #groonga を囲む夕べ
blogサービスの全文検索の話 - #groonga を囲む夕べ
アイデンティティ (ID) 技術の最新動向とこれから
アイデンティティ (ID) 技術の最新動向とこれから
高速な暗号実装のためにしてきたこと
高速な暗号実装のためにしてきたこと
20150221 めとべや東京-プライベートコード共有サービス
20150221 めとべや東京-プライベートコード共有サービス
A3RT - the details and actual use cases of "Analytics & Artificial intelligen...
A3RT - the details and actual use cases of "Analytics & Artificial intelligen...
A3RT -The details and actual use cases of“Analytics & Artificial intelligence...
A3RT -The details and actual use cases of“Analytics & Artificial intelligence...
[SC13] ログ管理で向上させるセキュリティ
[SC13] ログ管理で向上させるセキュリティ
クラウド時代を生き残る経営戦略策定のススメ「クラウドは敵か?味方か?」(山口・岡山)
クラウド時代を生き残る経営戦略策定のススメ「クラウドは敵か?味方か?」(山口・岡山)
テスト駆動インフラ構築-Chefとserverspecを使ったインフラ自動化のすすめ-
テスト駆動インフラ構築-Chefとserverspecを使ったインフラ自動化のすすめ-
認証/認可が実現する安全で高速分析可能な分析処理基盤
認証/認可が実現する安全で高速分析可能な分析処理基盤
中小規模サービスのApacheチューニング
中小規模サービスのApacheチューニング
Más de Hiroshi Tokumaru
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
Hiroshi Tokumaru
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
Hiroshi Tokumaru
SQLインジェクション再考
SQLインジェクション再考
Hiroshi Tokumaru
徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する
Hiroshi Tokumaru
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1
Hiroshi Tokumaru
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
Hiroshi Tokumaru
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
Hiroshi Tokumaru
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
Hiroshi Tokumaru
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Hiroshi Tokumaru
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
Hiroshi Tokumaru
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
Hiroshi Tokumaru
秀スクリプトの話
秀スクリプトの話
Hiroshi Tokumaru
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
Hiroshi Tokumaru
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
Hiroshi Tokumaru
ウェブセキュリティの常識
ウェブセキュリティの常識
Hiroshi Tokumaru
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
Hiroshi Tokumaru
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
Hiroshi Tokumaru
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かり
Hiroshi Tokumaru
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
Hiroshi Tokumaru
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
Hiroshi Tokumaru
Más de Hiroshi Tokumaru
(20)
ウェブセキュリティのありがちな誤解を解説する
ウェブセキュリティのありがちな誤解を解説する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
脅威分析の手法によりウェブサーバーにウイルス対策ソフトが必要かを検証する
SQLインジェクション再考
SQLインジェクション再考
徳丸本VMに脆弱なWordPressを導入する
徳丸本VMに脆弱なWordPressを導入する
introduction to unsafe deserialization part1
introduction to unsafe deserialization part1
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
SSRF対策としてAmazonから発表されたIMDSv2の効果と破り方
XXE、SSRF、安全でないデシリアライゼーション入門
XXE、SSRF、安全でないデシリアライゼーション入門
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
ウェブ・セキュリティ基礎試験(徳丸基礎試験)の模擬試験問題
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
オニギリペイのセキュリティ事故に学ぶ安全なサービスの構築法 (PHPカンファレンス2019)
Railsエンジニアのためのウェブセキュリティ入門
Railsエンジニアのためのウェブセキュリティ入門
安全なWebアプリケーションの作り方2018
安全なWebアプリケーションの作り方2018
秀スクリプトの話
秀スクリプトの話
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
デバッガでWordPress本体やプラグインの脆弱性を追いかけてみよう
若手エンジニアのためのセキュリティ講座
若手エンジニアのためのセキュリティ講座
ウェブセキュリティの常識
ウェブセキュリティの常識
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
著名PHPアプリの脆弱性に学ぶセキュアコーディングの原則
ウェブアプリケーションセキュリティ超入門
ウェブアプリケーションセキュリティ超入門
ウェブセキュリティの最近の話題早分かり
ウェブセキュリティの最近の話題早分かり
セキュリティの都市伝説を暴く
セキュリティの都市伝説を暴く
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
脆弱性は誰のせい? PHP、MySQL、Joomla! の責任やいかに
Último
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
FumieNakayama
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
博三 太田
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NTT DATA Technology & Innovation
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
FumieNakayama
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
Yuki Kikuchi
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
UEHARA, Tetsutaro
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
Hiroshi Tomioka
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
akihisamiyanaga1
Último
(8)
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
クラウドネイティブなサーバー仮想化基盤 - OpenShift Virtualization.pdf
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
モーダル間の変換後の一致性とジャンル表を用いた解釈可能性の考察 ~Text-to-MusicとText-To-ImageかつImage-to-Music...
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
NewSQLの可用性構成パターン(OCHaCafe Season 8 #4 発表資料)
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
AWS の OpenShift サービス (ROSA) を使った OpenShift Virtualizationの始め方.pdf
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
自分史上一番早い2024振り返り〜コロナ後、仕事は通常ペースに戻ったか〜 by IoT fullstack engineer
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
デジタル・フォレンジックの最新動向(2024年4月27日情洛会総会特別講演スライド)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
業務で生成AIを活用したい人のための生成AI入門講座(社外公開版:キンドリルジャパン社内勉強会:2024年4月発表)
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
CTO, VPoE, テックリードなどリーダーポジションに登用したくなるのはどんな人材か?
いまさら聞けないパスワードの取り扱い方
1.
いまさら聞けないパスワードの取り扱い方 HASHコンサルティング株式会社 徳丸 浩 twitter id:
@ockeghem
2.
本日お話ししたいこと • パスワードの器の要件 • パスワードの中身の要件 •
パスワード入力画面の要件 • 認証エラーメッセージの要件 • パスワードの保存方法 2Copyright © 2013 HASH Consulting Corp.
3.
パスワードの器の要件 3https://direct3.smbc.co.jp/servlet/com.smbc.SUPRedirectServlet 半角英数字4桁~8桁 英字4桁で 大丈夫か?
4.
SMBCダイレクトはアカウント回復に手間をかけることで対応? 4Copyright © 2013
HASH Consulting Corp. http://www.smbc.co.jp/kojin/otetsuduki/anshou/saihakko/index.html • SMBCはアカウントロック後のアカウント回復を書面あるいは電話とする ことで、オンラインのパスワード攻撃に対策していると考えられる。 • 自動的にアカウント回復するサービスの場合は、パスワードの要件を厳し くすることで、オンラインパスワード試行に対抗した方がよい • twitterの場合は6文字以上、任意のASCII文字 • 英数字に限る場合は 8 文字以上を要求した方がよい • オフライン攻撃を考慮すると、英数字記号の12文字以上が最低要件と考 える…が難しい場合はストレッチング等で防御力を高める(後述) • パスワードの「最大長」はハッシュ値での保存を考えると上限を制限する 根拠はないが、Amazonのように maxlength=128くらいでよいのでは?
5.
パスワードの中身の要件 5Copyright © 2013
HASH Consulting Corp. twitterはパスワードの「辞書」によるチェックをしている 最近は、facebookやtwitterもパスワードの辞書チェックをしている
6.
パスワード入力画面 • パスワードはマスク表示が「常識」と言わ れているが… • 「良いパスワード」すなわち、記号混じりの 長いパスワードを入力する場合は、入力 を確認したい •
IE10 のパスワード入力欄には「目のアイ コン」があり、押下時のみパスワードを表 示する • ショルダーハッキングの可能性があるの で、デフォルトではマスク表示 • 他のブラウザも追随してくれるとうれしい 6Copyright © 2013 HASH Consulting Corp.
7.
パスワード入力時のエラーメッセージ • りそなダイレクトのログイン画面 • まずログイン画面を確認して、存在するログインであればパスワード入力画 面に進む •
ログインIDとパスワードを別々に確認できて、攻撃しやすいw • 通常は、ログインIDとパスワードを同時に入力して、ログインエラーの場合 は、「IDまたはパスワードが違います」というエラーメッセージを表示する 7Copyright © 2013 HASH Consulting Corp.
8.
パスワードの保存方法 8Copyright © 2013
HASH Consulting Corp.
9.
そもそも、パスワードだけ保護する理由は? • パスワードが漏れている状況では、他の個人情報も漏れて いる可能性が高い • しかし、情報漏洩だけが「困ること」ではない –
利用者の権限で使える機能の悪用 – 利用者のアカウントでの投稿など • オバマ大統領に成りすましてtwitterでつぶやく、とか • パスワードを他のサイトでも使い回ししている利用者がいる – サイト運営者は、パスワードを使い回ししている利用者のせいにして はいけない – パスワードリスト攻撃が現実のものに ← イマココ • パスワードを可能な限り保護することは、サイト運用者の責 務 9Copyright © 2013 HASH Consulting Corp.
10.
パスワードリスト攻撃 10Copyright © 2013
HASH Consulting Corp.
11.
どうして暗号化ではなくてハッシュなの? • 暗号化の場合、鍵の管理が難しい • アプリケーションは鍵を使わなければならないが、攻撃者には鍵を見せ たくない •
PSNの事件では、権限昇格されたことになっているので、暗号鍵も盗まれ ていると想定せざるを得ない • ハッシュだと鍵を使わないので、鍵管理のわずらわしさがない • パスワードをサイト管理者にも知られたくないというニーズも – 暗号化されたパスワードだと、サイト管理者やヘルプデスク担当者がパスワ ードを知り得るのが嫌だ – ヘルプデスクに見せないようにするには、サポート用画面の機能次第で可 – 管理者の悪事は総合的な対策が必要で、パスワードの問題だけではない • PCI-DSS2.0 8.4項には「8.4 強力な暗号化を使用して、すべてのシステムコ ンポーネントでの伝送および保存中のすべてのパスワードを読み取り不 能にする」とあり、ハッシュを求めてはいない 11Copyright © 2013 HASH Consulting Corp.
12.
ハッシュで保存されたパスワードは本当に安全なの? • 一般的に、(暗号論的)ハッシュ値から平文を「復元する」ことはできない – 「password」のMD5ハッシュ:
5f4dcc3b5aa765d61d8327deb882cf99 • しかし、パスワードの場合は特別な事情がある • 例:4桁の暗証番号をハッシュ値で保存している場合 – 全ての可能性は1万通りしかないのだから、総当たりで確認すれば、平文の 暗証番号はすぐに判明する • 原理は8桁パスワードでも同じ • ハッシュ保存の場合、アルゴリズムは攻撃者が知っている前提で安全な 設計とする – 平文パスワード以外は、すべて「ばれている」想定を置く • 攻撃者にとって未知であることが保証された情報があれば、それを鍵とし て暗号化すればよい。現実にはそのような保証がないから暗号化を用い ない 12Copyright © 2013 HASH Consulting Corp.
13.
ハッシュから平文パスワードに戻す方法はないの? • 「徳丸本」で紹介している方法 • 総当たり攻撃 •
辞書攻撃 • レインボークラック • ユーザDBにパスワード辞書を作る 13Copyright © 2013 HASH Consulting Corp.
14.
総当たり攻撃・辞書攻撃 • オフライン型のパスワードクラックツールが該当 – John
the Ripperなど • さまざまなパスワードの「候補」からハッシュ値を求めて照合する • 「辞書」の内容としては、よく使われるパスワードの他、ユーザIDそのもの (Joeアカウント)、組織名なども含める 14Copyright © 2013 HASH Consulting Corp. 総当たり攻撃のイメージ 辞書攻撃のイメージ aaaaaa aaaaab aaaaac aaaaad aaaaae ... password 123456 qwerty pokemon root ...
15.
総当たり攻撃って遅いんでしょ • そうでもない • ハッシュ関数は高速性が求められる –
電子署名などの用途では、高速であるほどよい – DVD-ROMイメージ全体のハッシュ値を求めたりする • パスワード保護の目的では、高速性は要らない – むしろ、平文解読も「高速」になってしまう • こういう記事も 15Copyright © 2013 HASH Consulting Corp.http://slashdot.jp/security/article.pl?sid=11/06/06/0023219 より引用
16.
16http://d.hatena.ne.jp/sen-u/20110629/p1 より引用 また上野宣か!
17.
テスト1:"password" (続き) パスワード人気ランキングで常に上位にいる「password」という文字列をMD5でハッシュ化した 「5f4dcc3b5aa765d61d8327deb882cf99」を解読してみました。文字種の指定はデフォルトの英小文字としました。 f:id:sen-u:20110629085027p:image c:¥> ighashgpu.exe
-h:5f4dcc3b5aa765d61d8327deb882cf99 -t:md5 -c:s -max:8 (略) Found 1 CAL device(s) Starting brute-force attack, Charset Len = 26, Min passlen = 4, Max passlen = 8 Charset (unicode -> 0) [abcdefghijklmnopqrstuvwxyz] Charset in HEX: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70 71 72 73 74 75 76 77 78 79 7a Starting from [aaaa] Hash type: MD5, Hash: 5f4dcc3b5aa765d61d8327deb882cf99 Device #0: [Juniper] 860.00 Mhz 800 SP Hardware monitoring enabled, threshold temperature is 90°C. CURPWD: umggwqur DONE: 87.12% ETA: 14s CURSPD: 1842.9M Found password: [password], HEX: 70 61 73 73 77 6f 72 64 Processed 190 350 098 432 passwords in 1m 34s. Thus, 2 034 328 660 password(s) per second in average. 1分34秒であっさりと解読できてしまいました。1秒で約20億回も試行してるんですね。 17Copyright © 2013 HASH Consulting Corp.
18.
25GPUのモンスターマシン(パスワード解析用!) 18http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Cracking_HPC_Passwords12.pdf より引用
19.
ベンチマーク 19http://passwords12.at.ifi.uio.no/Jeremi_Gosney_Password_Cracking_HPC_Passwords12.pdf より引用 1秒間に1800億回のMD5ハッ シュ値計算! (上野家の90倍!) 8文字英数字パスワード(約220 兆パターン)のMD5ハッシュ値 をすべて計算するのに、20分し か掛からない!
20.
MD5なら危険で、SHA-1なら安全なんでしょ? • ハッシュ値から平文パスのワードを求める手法は、いずれも MD5固有の特性(脆弱性)を使っていない • いずれも、総当たり攻撃、辞書攻撃やこれらの変形である •
したがって、既知のハッシュ関数であれば、前述の攻撃手法 が適用可能 • たまに、「MD5によるパスワード保存は危険」とか「SHA-1によ るパスワード保存もそろそろ危険」とか書いている文書があ るが、たいてい間違い • LinkedInから漏洩したパスワードはSHA-1ハッシュで保存され ていたが… 20Copyright © 2013 HASH Consulting Corp.
21.
LinkedInからのパスワード漏洩事件 21http://www.itmedia.co.jp/enterprise/articles/1206/07/news017.html より引用
22.
650万件のパスワードハッシュのうち540万件が1週間で解読 22http://securitynirvana.blogspot.jp/2012/06/final-word-on-linkedin-leak.html より引用 https://twitter.com/jmgosney/statuses/213212108924522496 より引用 Surviving
on little more than furious passion for many sleepless days, we now have over 90% of the leaked passwords recovered.
23.
Saltってなに? • ソルト(Salt)とは、ハッシュの元データ(パスワード)に追加する文字列 • 見かけのパスワードの長さを長くする
→レインボーテーブル対策 • ユーザ毎にソルトを変えることで、パスワードが同じでも、異なるハッシュ 値が得られる – ソルトがない場合、パスワードの組み合わせ回数分ですむが、ソルトがある と、×ユーザ数 に試行回数が増える – LinkedInの場合は、試行回数が 650万倍に ! • ソルトの要件 – ある程度の長さを確保すること – ユーザ毎に異なるものにすること • ソルトには乱数を用いることが多いが、乱数が必須というわけではない (暗号論的に安全な乱数である必要はもちろんない) • ソルトは秘密情報ではない。ソルトは、通常ハッシュ値と一緒に保存する 23Copyright © 2013 HASH Consulting Corp.
24.
Stretchingってなに? • ストレッチング(Stretching)とは、ハッシュの計算を繰り返すこと • ハッシュの計算を遅くすることにより、辞書攻撃や総当たり攻撃に対抗する •
1万回ストレッチすると、「 GPUモンスターマシンで20分掛かる」が20万分に なる計算 – 20万分 = 139日 … • 「悪い」パスワードまで救えるわけではない – 「password」というパスワードをつけていたら、100万回ストレッチしてもすぐに解 読されてしまう • 十分長いパスワードをつけてもらえば、ストレッチングは必要ない – 1文字パスワードを長くすることは、約90回のストレッチングに相当する。パスワ ードを2文字長くしてもらえば… – ストレッチングは、「弱いパスワード」の救済の意味がある • ストレッチングはメリットとデメリットがあるので、導入の有無と回数をよく検 討すること 24Copyright © 2013 HASH Consulting Corp. むむ、これだとパスワードの定期的変更か?
25.
パスワードをハッシュで保存する場合の課題 • 「パスワードリマインダ」が実装できない – 「秘密の質問」に答えるとパスワードを教えてくれるアレ –
パスワードリセットで代替 • ハッシュの形式(アルゴリズム、ソルト、ストレッチ回数)の変更 – 生パスワードが分からないのでハッシュの方式変更がバッチ処理ではできな い – ユーザの認証成功の際にはパスワードが分かるので、その際に方式を変更 すると良い – 緊急を要する場合は、現在パスワードを無効にして、パスワードリセットで – ハッシュ値あるいは別フィールドに「方式番号」をもっておく – PHP5.5のpassword_hash関数が便利 (ソルト・ストレッチング内蔵) $1$d641fdabf96912$4b3c3e95dfab179ebfef220172f58171 25Copyright © 2013 HASH Consulting Corp. 方式番号 ソルト ハッシュ値
26.
password_hash 関数 (PHP5.5から) 26http://php.net/manual/ja/function.password-hash.php
より引用 <?php echo password_hash('rasmuslerdorf’, PASSWORD_DEFAULT); 【結果】 $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a
27.
結局どうすればよいの? • パスワード認証は、利用者とサイト運営者が責任を分かち合 っている • 利用者に、よいパスワードをつけてもらうのが本筋 •
オンライン攻撃に備えて、以下を実施する – アカウントロックの実装 – SQLインジェクションなどの脆弱性対処 – でれきば…二段階認証、リスクベース認証 – Googleなど認証プロバイダの活用 • オフライン攻撃対策は中々決め手がない – ソルトなしのハッシュは、レインボーテーブルで元パスワードが簡単 に求められる – ソルトは必須。できるだけストレッチングもする(password_hash関数な ど) – DBのパスワード欄に余裕を持たせ、方式を改良できるようにしておく 27Copyright © 2013 HASH Consulting Corp.
28.
まとめ • パスワードの器の要件 – 12文字以上(できれば、もっと)のパスワードが入力できること •
パスワードの中身の要件 – パスワードの中身はユーザの責任 – しかし、「悪いパスワード」のチェックも必要になりつつある • パスワードの入力画面 – 「パスワードを見せる」という新しい考えかた • 認証エラーメッセージ – 基本は「IDまたはパスワードが違います」 • パスワードの保存方法 – 最低ライン: ソルト付きハッシュ – できれば:ソルト付きハッシュ × ストレッチング • 定期的なパスワード変更をしないですむ安全なパスワード保存を 28Copyright © 2013 HASH Consulting Corp.
29.
ご清聴ありがとうございました
Descargar ahora