« 2013年6月 | トップページ | 2013年9月 »

2013年8月の記事

2013年8月29日 (木)

パスワードの変更は定期的に!

 最近、パスワードの定期的な変更を促すメールが、プロバイダやサーバーを利用している会社のあちこちから届きます。

 以下は、「株式会社ディアイティ」のWebサイトに記載されていた、パスワード解析までの時間です。
 http://www.dit.co.jp/service/report/security-threat_v3.html より引用しました。

~~~~~~~~~~~~~~~~~~~~~~

                                                                     
実施日: 2012年12月
ハードウエア:PC1台(CPU:Intel Core i7、システムメモリ:8GB、
GPU:GeForce GTX 680)
ソフトウエア:OS: Windows7(64bit)
ツール: 市販ツール(改造なし)
手法:パスワードの総当たり攻撃(Brute Force Attack)
時間の算出について:複数の実測値をもとに単位時間当たりの解析数から、組み合わせ総数を解析するまでに必要な時間を算出したもの。また、桁数の多いものは、特定数の解析に要した時間を組み合わせ総数と比較して算出した時間とする。
1秒間あたりに解析できる回数(上記ハードウェア構成PC1台での数値):
                                                               
    解析ファイル種類解析回数(1秒間)
    ZIP約45億回
    ZIP(256bitAES)約105万回
    DOC約1200万回
    DOCX約23000回

測定結果

                                                                                                                                                                                                                                                                                                                                               

桁数

4桁

6桁

8桁

10桁

英小文字 (26字)

ZIP

1秒以下

1秒以下

46秒

9時間

ZIP(256bitAES)

1秒以下

5分

2日

4年

DOC

1秒以下

26秒

5時間

136日

DOCX

20秒

44分

105日

195

英大小文字+数字 (62字)

ZIP

1秒以下

13秒

13.5時間

6年

ZIP(256bitAES)

14秒

15時間

7年

26千年

DOC

1秒以下

1時間20分

211日

2,218

DOCX

10分42秒

29日

301

1,158千年

英大小文字+数字+記号 (93字)

ZIP

1秒以下

2分24秒

14日

341

ZIP(256bitAES)

1分11秒

7日

169

1,462千年

DOC

6秒

15時間

15年

128千年

DOCX

55分

326日

7,800

66,726千年

~~~~~~~~~~~~~~~~~~~~~~

 「英大小文字+数字+記号」を使った10桁のパスワードでやっと安心というレベルです。

 だからって、10桁のパスワードを、例えば1カ月おきに変更したいですか?
 普通の生活をしている人でも15個所程度は、パスワードを設定しているように感じます。
 私は、30以上あるでしょうね。
 それも、メールを読むために複数のパソコンやタブレットを使っていますので、1カ所変えたらすべて変える必要があります。

 もちろん、自己責任なので、できるだけのことはしたいと思いますが、

    ・メールアドレスを漏らしたので、パスワードを変更してくれ。
    ・パスワードを含む個人情報が漏れたので、パスワードを変更してくれ。

 って、「いい加減にしてくれ!!」です。

 もうそろそろ、根本的に『パスワードシステムからの進化』をして欲しいものです。

 ユーザーの自衛策は、

    『大事なデータは、クラウド上に置かない。
     お金に関わるものは、盗難に遭うことを前提に利用する』

 くらいしかないように思います。

-----------------------------
<参考>
 オーソドックスなパスワードの決め方、注意点

 ●パスワード対策(Enchanting Sky)
 http://enchanting.cside.com/security/password.html

 ●パスワードはなぜ8文字以上にするのか(早稲田大学メディアネットワークセンター(MNC))
 http://www.waseda.jp/mnc/letter/2011sep/end_column.html

| | コメント (0) | トラックバック (0)

2013年8月12日 (月)

まぐまぐの発行者のメールアドレスが収集された

 独自配信と並行して、「まぐまぐ」を使って、メール通信を発行しています。
 そうしたら、こんな案内が来ました。

 「まぐまぐのほうから来ました」

 と似た文面の、メルマガが届いていました。
 通数は多くはないですが、気分が悪かったのでした。

 で、メールアドレスの変更って、どうしよう?

 「まぐまぐ」用を変えればいいという問題ではなく、

    「相手にリスト化されたメールアドレスを使えないようにする」

 というのは、大変な話ですよ。

 もともと、「まぐまぐ」の読者は誰かわからないので、警戒して本文にはメールアドレスを入れていませんでした。
 ぬかりました。

~~~~~~~~~~~~~~~~~~

2013.08.08 読者返信用アドレスご変更のお願い 及び 機能追加のお知らせ

いつも、まぐまぐをご利用いただきありがとうございます。
本日は、次の2点について、ご連絡申し上げます。

・機能追加のお知らせ
・読者返信用メールアドレスご変更のお願い

昨年より、発行者様から、見知らぬアドレスからDMが届くというご相談が多く寄せられてきました。

「まぐまぐでしか利用していないメールアドレスなのに・・・」、
「まぐまぐからの流失ではないか」、
「まぐまぐの発行者のメールアドレスを一覧にして販売している人がいる」
などのご連絡をいただきました。

これについて、調査をしましたところ、メールマガジンを大量に購読し、発行元メールアドレスを抽出していることが分かりました。

まぐまぐでは、創業以来、電子メールの特性を活かし、読者様が届いたメールマガジンに返信していただくことで、発行者様へご意見・ご感想がダイレクトに届く仕組みを採ってきました。

この機能については、一定のご評価をいただき、多くの読者様にご利用いただいております。

しかし、この機能によって、読者様は、発行者様が登録された発行元メールアドレスが分かることになります。これを悪用されたことが発端となり、発行者様にご不快な思いやご心配をおかけしてしまった結果となっています。

この問題について、検討した結果、

・発行元メールアドレスを暗号化し分からなくすること
・読者様からご意見等の返信は従来通り届くようにすること

を目的に開発を行い、8月8日(木)にリリースいたしました。

新しい機能は、発行者様も読者様も、特に意識せず、従来と何も変わらないようにご利用いただけます。

発行されるメールマガジンには、発行者様宛メールアドレスとして、暗号化された「読者返信用メールアドレス」が送信されますが、新機能リリース時点では、以前ご登録いただきました「発行元メールアドレス」が登録されています。

送信する際には暗号化いたしますが、「発行元メールアドレス」は、一度、リスト化されている可能性がありますので、出来ましたらご変更いただきたく、お願い申し上げます。

詳しい変更方法は、次のページをご確認ください。
http://www.mag2.com/changeAuthorAddress.html

また、念のため定期的なメールアドレスのご変更をお願い申し上げます。

この度は、ご心配、ご迷惑をおかけいたしましたことを、お詫びいたしますと共に、当社では、より使いやすく改善し、皆様にお届けしたいと考えています。

今後とも、ご意見・ご要望を戴きたく、お願い申し上げます。

株式会社まぐまぐ
発行者サポートチーム

| | コメント (0) | トラックバック (0)

« 2013年6月 | トップページ | 2013年9月 »