Contents
1. パスワード
Recent breaches at Cisco, Tiktok & AMD are the result of poor password hygiene. https://twitter.com/TheHackersNews/status/1574805737921859588?s=20&t=M2D1OlkkEwpL8jpf4b9dFw
As long as most sites & SaaS services rely on passwords as a single or any factor, there is a need for a new approach to password hygiene and employee education.
パスワードの「衛生管理」と従業員教育への新しいアプローチが必要です。
44 million Microsoft users reused passwords in the first three months of 2019 Microsoft used a database of three billion publicly leaked credentials to identify users who reused passwords. catalin-cimpanu.jpg Written by Catalin Cimpanu, Contributor on Dec. 5, 2019
https://security.srad.jp/story/19/12/08/0526255/
1.1. history
推測が容易なパスワード、よく使われるパスワードのリストがある。
定期変更が有効だとしたら、それは漏えいを前提にしている。
他サイトとのID/password共用問題。
メールアドレスをIDに使うのが発端 -- ToshinoriMaeno 2022-09-28 00:33:34 見て見ぬフリのひとたち
passwordだけを認証に使うのがだめ。
1.2. 他の認証方法
single sign on
ワンタイムパスワードの話はあまり見なくなった。
- ユビキーだったか。
接続元(IPアドレス)が常用のものかを確認して、警告するサイトは多い。
多要素認証が要求される時代だろう。
連続した認証リクエストは止めるとか必要よね | GTA新作リークに使われた“多要素認証疲れ”攻撃とは
https://twitter.com/mkaneda/status/1574919011195723776?s=20&t=QzBn5_iBzS2FqSlM8OfJCw
1.3. Reset Poisoning
https://crashtest-security.com/password-reset-poisoning/