  |
はてなキーワード: パスワードとは
lifehackerのブクマでみんな心配してるセキュリティについては最後に書く。
お金にズボラな私が全自動家計簿サービス「マネーフォワード」を3カ月使ったら戻れなくなった
http://www.lifehacker.jp/sp/2013/10/131023moneyforward.html
そもそもタイトルだけで終わりではあるんだが、マネーフォワードは家計簿というよりもブラウザゲーとしてとらえた方が面白い。
http://corp.moneyforward.com/service/img/20130628_01.png
まんなかの点線が現在の日付だ。月初めがこの点線が左端にあって、日付が経つごとに右にすすんでいく。
棒グラフが今月これまでにつかった金額だ。自動的に銀行口座やクレジット明細から算出される。
この棒グラフが点線を追い越していると、ハイペースで金を使っていることになる。
いっぽうで点線が棒グラフをはるかに引き離していると金額に余裕があることになる。
特に月末なんかに棒グラフがまだ真ん中あたりだったりすると「ヒャッホー金つかえるぜー!」となる。
(いつを月初めとして計算するかはユーザが決められる。給料日にするといいい)
特に重要なのが、自動的にけっこうリアルタイムに更新されるということだ。
クレジットカードは引き落とし明細ではなく、利用履歴で算出される。
なので、2ヶ月前に買ったもので予算が削られるのではなく、数日前に買ったものが予算から引かれていくことになる。
現金の管理はレシートアプリでけっこう簡単にできるようになっているが、それでも面倒だ。
なるべく現金を使わず、モバイルSuicaで決済すればかなり正確な値になる。
日々マネーフォワードにログインして、点線と棒グラフの追いかけっこを確認する。
これが楽しい。月末に数万円予算があまってた時なんかはもう嬉しくてニヤニヤしながらアマゾン楽天でカートにざくざくいれている。
逆に想定外の出費をしたときは、月末に何か削れるものが無いか必死で考える。
水道、ガスなど公共料金で引き落とし日をかえられるものはすべて月頭にした。月の頭に不意打ちで数千円おとされるのは結構なダメージだからだ。
別に予算を超過しても何かペナルティーがあるわけじゃない。でも自分のなかで「予算内でやるぞ」と決めてその通りにやるのは、なかなか楽しいことだ。
さてセキュリティのことだが、人にログイン名パスワードを教えることは通常ありえないことだ。
あとマネーフォワードの中のひとが「おれらセキュリティマジばっちりだし」とか言っても信じろという方が無理だ。
ただ、ライフハッカーの記事でもあったが、金融機関のアカウントは、たいてい二段階になってる。
ログインして外部にお金を出す(振込とか)場合は2段階目のパスワードを求められることが多い。
なので、そういう金融機関のアカウントは、他人にあずけてもリスクは低いと思う。
その論点でいうと、アマゾンアカウントをマネーフォワードに入力するのは、俺も無理。
あれはありえない。ひどい。失敗。人を馬鹿にしてる。
ほいほい入力しちゃうような脇が甘い奴は他でもなにかセキュリティ上まずいことをやってると思う。
一段階目のアカウントにしても、自分がアカウント名を好きに決められるもの(楽天銀行など)は注意だ。
たとえば自分がいつも使うアカウント名を使い回していたら、マネーフォワードがクラックされた際に
ユーザー名が変更されたことによってTwitterから連絡が来て乗っ取りを知った。
ただ乗っ取られただけならサポートに連絡すれば取り返してくれるが、
問題は、ユーザー名が書き換えられ、元々俺が使っていたユーザー名だけが横取りされたことである。
厳密に言うとアカウント自体は乗っ取られていない。
俺のアカウントはいまだに@ochinchinbiro_nのままである。
@ochinchinbiro_nにログインはできる。
そのまま使うことも出来るし、@yamada_2ndなどのユーザー名に変更することも自由だ。
しかし@yamada_1stは返ってこない。
どこかの誰かが現在も@yamada_1stを使っている。
せめて@yamada_1stを凍結してくれとTwitterにサポートリクエストを出したものの、
紆余曲折の末、
「ご登録されているメールアドレスでのお問い合わせでないと本人確認できませんのでご対応しかねます。ご了承ください。」
と突っぱねられた。
なりすましとして違反報告しようにも、俺の本名は山田ではないため認証が不可能。
どう見ても手詰まりです本当にありがとうございました。
上の文章では仮に@yamada_1stにしたけど、実際はものすごく簡単な英語の一般名詞なんだよね。
例えで言うと、@styleとか、@weekendとか、@whiteとか。
人によっては価値を見出す人もいるだろうね。
「ご登録されているメールアドレスで」「お問い合わせ」すればいい
うん、それがね。
Twitterの言う「ご登録されているメールアドレス」ってのが、どうやら「現@yamada_1stのメールアドレス」のことみたいなんだよね。
ハッカーの!メールアドレスなんて!そんなの!俺にわかるわけないじゃん!Twitterのバカ!
ふぉろわーにたのんでとうけつさせるんだ
現@yamada_1stが奇跡的にまったくの第三者である可能性もなくはないからね。
Twitter側に調査してもらった上でクロと判れば凍結してもらいたいんだ。
どっかのニュースサイトに話持ち込んでみては
あんまりおおごとにしたくないんだな。
なんせ一般名詞だし、俺が最初にとってたってだけであんまり「俺のだ!」って主張するのも憚られる。
実害(金銭的損害)がないからねー。そこまではちょっと考えてない。
あと多分向こうは日本人じゃないと思う。
ブクマトラバツイートありがとうみなさん。ハヴァナイスウイークエンド。
いやもうほんと、おっしゃる通り。後悔先に立たず。良い子のみんなは2段階認証を導入してね。
このへんの対策はあとでまとめて書くかもしれない。
まさにそれ。
アルファベットだけの組み合わせだったからなんかツールでアタックかけたら成功しちゃうよね。
動機から、 http://news.mynavi.jp/column/svalley/476/index.html (Twitterのユーザーネーム(mat)を気に入り、それを乗っ取りたいと思って攻撃)の事件を思い出した。
いろいろ記事はぐぐってみたけどこれは知らなかった、ありがとう。
動機はそんなとこだよね。
あとでじっくり読ませてもらいます、たぶん解決しないけど。
問題発生から2か月かけて3回のサポートリクエストで再三それ説明してるんだけど、その返事が
「ご登録されているメールアドレスでのお問い合わせでないと本人確認できませんのでご対応しかねます。ご了承ください。」
の一点ばりなんだよね。
俺、2007年からこのユーザー名使ってんだけどな。。全然確認してくんねーの。
確認ってか、読んでないの。たぶん。Twitterは。俺の哀願を。
(参照:http://twitterjp.blogspot.jp/2008/03/blog-post.html)
俺にコピペで返信するだけで1時間$20から$35もらってんだって。すごいよね。
「Twitterに対して熱い情熱をもっている」んだって。へー。
熱い情熱なら俺も持ってるよ、2007年から使ってる、どこかの誰かにクラックされるほどイイ感じの俺のユーザー名に対してのな!
ここでいろいろ書くことによってだいぶんあきらめがついてはきたけど。
さりとて、どれほどコピペ返信が悔しかろうとも、英語で質問する英語力は俺にはないのだった。残念な話だ。
もう、俺には返ってこないんで、消えてくれるならそれでいいです。えぇえぇ。
その金額差の理由は、あなた(の会社)のことをシステム屋がまだ知らないからです。
システム開発ってのは、どういうものを作るかっていう設計書が「きちんと」かけてしまえば、もうほとんどすべての仕事が完了したって言えるものなんだよね。
自動車に例えると、コンセプトデザインから設計図から工場から何から何までほとんど全部がシステム開発に相当し、最後に納品されるサーバとかDVD-ROM一枚とかが、自動車そのものに相当するわけ。だから、「こういうのがほしい」「じゃあそういうのを作りましょう」ってのがきちんとわかるのは、最後の最後なの。
「ここで日付と金額と担当者名を入力すると……」みたいな部分があった時に、金額は数字だけ受けつければいいのか、カンマで三桁毎に区切って入力したら(綺麗に表示されたデータを画面からコピペするとよくそうなる)エラーにするのか、全角文字の数字はどうするか。
担当者名は、結婚して姓が変わった時に、担当者レコードのデータを新しい姓に変更することはできるけれど、姓の変更後に過去のデータを表示させた時には、やっぱり結婚前の姓が表示されないと困る?(ってことは担当者ごとに名前の履歴を持たないといけない)
日付として(いまどきあり得ないけどテキストで入力するとして)12月32日が入力された時にどういう動きをするべきか。カレンダーを表示させてクリックすれば入力できるようにしたい?祝祭日は赤で表示しましょうか、じゃあ会社の創立記念日は?え、社長の誕生日は一献染(いっこんぞめ)色?ログインユーザごとに直属の上司の誕生日と結婚記念日も覚えさせて色を変えたいたいだって?(直属の上司って「必ず」「単数」で存在すると仮定していいの?)
ログイン画面で間違ったユーザ名か間違ったパスワードをいれた時に、ユーザ名かパスワードが違うからログインできない旨を表示するエラー画面に「遷移するまでの時間」が書いてある?時間が短いと、悪党が社内に侵入した時にブルートフォースアタックされやすくなっちゃうけど大丈夫?
そこまで明確に記述されてるものが「きちんと」書かれた設計書って意味ね。そういうありとあらゆることを決めて行くのが、システム開発。
「そういうのはどっちでもいいし、カンマを受け付けないならそういう風に運用しますよ」って言ってくれるなら、(そして12月32日問題その他もすべて任せてくれるなら)金額は安い方で収まる。ただし、本当にそれでシステムが使い物になるのかは誰にもわからない。
そのような事柄すべてに対して、あなたの会社独自のルールを載せて行くなら、金額は高い方になるか、あるいはそれじゃ済まなくなる。
システム屋さんは、あなた(の会社)がそんなことをたくさん要求してくるかもしれないという可能性を捨てきれない。まずないとは思ってても、絶対はない。「あの客はまだわかってないから、この程度のシステムでいいって言ってるけど、きっとxx取引の入力が成されたらそれをメールでも伝える仕組みを入れてくれって言ってくるぞ。その方が絶対便利だし、予め価格に入れておこう」っていう親心みたいな理由で高い値段を見積もることもある。
だから金額には幅があるし、あなたはどこかで「えいやっ」っと信頼できそうなとこに任せるしかない。
私も一時期3年ぐらい専業主婦してたけど(小梨)飽きるねーあれは
自分が稼いでないからか、性格なのかはわからないけどお金使わないようにするから趣味っていうほど趣味もできないし、家もそれほど広くないから掃除も洗濯もすぐ終わるし。
食事は時間はかけられるけど、かければおいしくなるわけじゃないからどっちかっていうと時間かけずにおいしいものをって方面にいってしまうし。
レンタルビデオはすごい助かる! 時間つぶせる! でも2,3本みたらもう集中力が続かなくなるw
mixiもフェイスブックもツイッターも投稿することなくて(毎日同じことの繰り返しだし)ほとんど放置で気づいたらパスワード忘れてた。
http://anond.hatelabo.jp/20130927085830
イキナリ動画が再生してウザいと騒ぐ奴多すぎじゃありません?はてな◯◯ダイアリーとか。
再生した瞬間PCが重くなりますよね?レスポンスが低下しますよね?
いきなり音がでちゃいますよね?
そういった一方的な押し付けを、クリック等の決定動作でPC操作者が
最終決定するように設定できるのに、ふとした拍子に動画再生が始まってしまうっていう。。。
最近何につけてもノーガード戦法がきつい世の中ですよね。冷凍庫に入られたコンビニとか。
PC上(ほぼネット上)はノーガード戦法にはひときわ厳しい世界なのに、
いきなりゴリ押し動画を見ることを強制されて、それを消すのに手間がかかる
なんて馬鹿だと思いませんか?
そうなんです。
セキュリティソフトやパスワードと同じく徹底管理する必要があると思うんです。
Chromeだと
設定→詳細設定を表示→コンテンツの設定→プラグイン→「クリックして再生する」をチェック
※Macの場合。Winは表示が少し違うかもしれないけどたぶん似たような感じ。
Firefoxだと
ニッチ過ぎて需要がないかもしれんが、幸せになる人がいるかもしれないのでここに残しておく。シムフリーiPhone5にSoftBankの4 / 4SのSIMカードを普通に挿すと、LTE契約を前提とした接続設定がされてしまいデータ通信が利用できない。今ネット上で手に入る対策は、どの方法を使っても設定できるのはAPNのみでMMSの設定を編集できないので3G通信はできてもMMS、キャリアメールは使えないという片手落ち状態になっている(iOS7では、非公式キャリアのSIMを挿抜すればMMS、APNの設定画面が残ってしまうバグが修正されている)。この度、iOS7をいれたシムフリーiPhone5で両方を有効にすることができたので報告する。シムロックがかかったiPhone5や、iPhone5S、5Cでも使えるかどうかは環境が無いためわからない。が、シムフリー5S / 5C では使える可能性が高いと思われる。また、もちろん大前提としてmicroSIMサイズの黒SIMをnanoSIMサイズに各自カットしてiPhone5に挿入済みのこと。
シムフリーiPhone5に黒SIMを入れると、iOSに最初からインストールされているSoftBankのキャリアバンドルにもとづいて設定されてしまうため、LTEサービス用のAPNが有効になってしまい、しかもiPhone上で設定することができない。そこで、Apple公式サイトから設定プロファイルを作ることができるiPhone構成ユーティリティーをダウンロードし、3G通信用のAPNを設定してやる。
アップル公式サイトからSoftBankのキャリアバンドルファイルをダウンロードし、編集。Carrier Testing Modeで起動したiTunesを使ってiPhone5内部のキャリアバンドルを上書きする。
はじめにiTunesが起動していないことを確認。
コマンドプロンプトを開き、
"%ProgramFiles%\iTunes\iTunes.exe" /setPrefInt carrier-testing 1
ターミナルを開き、
defaults write com.apple.iTunes carrier-testing -bool YES
パスワードの定期変更による「破られにくくなる」はブルートフォースによるものの話じゃなくて、まあパスワード窃取した人に対するものだろう
パスワードの定期的変更を求める根拠は基本的にブルートフォース対応でしょうよ。
そもそもパスワードを「破られないように」って話が根拠なんだから。
そもそも、パスワード剽窃なんていうものに対抗するためなら「定期的に変える」意味がないし、
「他人に知られないように」とか「使い回ししないように」って話でしょ。
スルーなん?って言われてもなぁ。
最初から「パスワードの定期的変更ってやつは、パスワードを破られにくくする、っていう目的においてはまったくの無意味」
「ブルートフォース攻撃(総当たり攻撃)に対してはパスワードの定期的変更」は無意味、
って話でそんな話がなんの足しになるのか。
パスワードの定期的変更を求める根拠は「そのほうがパスワードは破られにくくなる」という主張で、
そんなのは妄想であって、パスワードを固定化しようが、定期的に(毎日でもいい)変えようが、
破られやすくもならないし、破られにくくもならない、文字通り「全く無意味」なことだろう、というお話。
運用の実態の話するなら「パスワードを定期的に変更させられることで、使い回し+数字付加」などの
「宝くじのあたりを狙うのに、毎回番号を変えるのがいいか、同じ番号を買い続けるのがいいか」ってのと同じ問題なんだけどね。
それと同じ問題だとわかってくれる人がいないっていう。
「パスワードを変えることで、むしろ当たりやすくなることもあり得る」ってことをイメージしてくれてるかどうかだと思う。
変えなければ100日目に当たっただろうパスワードが、変えたことで翌日に当たるかもしれない。
もちろん、あと1日で当たるところを、変えたところで20日伸びるかもしれない。
それは単純な「運」の問題で、当たりやすくなるかどうかなんて、良くも悪くもならない、差し引きゼロ
たとえば「英語辞書に載っている単語から5フレーズでパスワードを作る」ほうが、
「アルファベット大文字小文字+数字」で作る8文字のパスワードよりも強いんだけど、
よく見るこの意見は、「パスワードの使い回し」と「パスワードの定期的変更」を誤って結びつけて考えている例。
「パスワードを使い回さないようにしましょう」という教育を徹底すればパスワードの定期的変更を求める必要はない。
またシステムで強制的に定期的変更をさせても、使い回しが減るわけではない(使い回したい人はどうにかして使い回す)。
現在の問題は、「パスワードの定期的変更は無意味」というはっきり結論が出ていることを、どうやって世の中に伝えていくかだと思ってる。
「無意味です」という理屈を理解できる人でも、なかなか、素人に理解してもらえるように説明するのが難しいことは、同意するはず。
難しいこと(って程でもないかもしれないけど)を簡単に説明するのは、余程頭のいい人でないと不可能な難しいこと。できたら英雄になれるかも?
なんで?の乱用はパワハラですよ。
http://enjoy-work.raindrop.jp/archives/1313でも書かれているが、なぜを追求していくと
・僕なんか生まれなきゃ良かった
・そもそも神がこの世界を作らなきゃこの問題は発生しなかった。
ロジックで解決できないところまでブレークダウンしてしまえば、
あとは「だからどうしよう!」と前向きに考えたらよいんですよ。
うっかりミスでした。うっかりミスなのでそれを注意するために毎回ノートをチェックするようにします。
ノートを見るのを忘れるようならそのための仕組みを考えるとか。
良いこと
名前が「売れる」
宣伝がキモの商売につながりやすい(士業・情報商材・自己啓発・活動家・評論家)
攻撃力を高められる
個人情報(魂)と引き換えに様々なウェブサービスや金が手に入る
悪いこと
防御力が下がる
本人だけでなく家族の粗まで探されて悪口書き込まれる
家が特定されストーカーがウロウロ
女だと知れるとこじらせた人から絡まれやすい(生理日特定やら)
過去の書き込みから粗を探されて「けしからん」と針小棒大に言われる
メンタルの弱点がもろばれする
ガチのサイバーストーカーと粘着の前には法は無意味 何年でも粘着される
魂の防御力(気力)を削っていくには何処の部分から人格(人核)削っていけばいいかばれる
(自我を構成している秘孔がばれる)
分析されて踊らされる(誘導される)
最近ポイントサービスがあちらこちらで見受けられるようになったけど
なんだかなーと思って敬遠してる
一つ一つは意味の無いデータでも一人の個人について大量に集めればいくらでも・・・応用を利かせる
人は利かせるからね 悪用目的が金である内は可愛いものだけど自分の気に食わない事を言う人を黙らせる為や
私刑の為、脅しをかけたり犯罪の為にそういった情報を求めている、その状況を見てみぬふりしている人達が
「実名」ってそれ単品だけで人をいじれる いちゃもんこじつけて心を傷つけることのできるデータだよ
みんなネットで「実名」出すこと軽く考えすぎ 名前「魂」を構成する上での重要データだよ
実際に粘着君と個人情報を悪用しようとする人達にエンカウントしないとわかんないんだろうけど
分かった時には遅いのさー
最後に何かウェブ登録する際にTwitterやFBとサービス連携したりさせたり会員登録させたりする
仕様にはもう疲れました 20個くらいウェブサービス使っているけどどこに行っても一々ログインと
パスワード設定して個人情報書かなきゃいけないの疲れたので、最近のネトゲやネットサービスには
もう手を出したくない めんどいです、うん 会員登録を入力させる無料ゲームよりもコインを入れてプレイするゲームセンターの方が良い
出かけてくる
いや、今回 パーミッションが404つまり、グループ外だったらだれでも読めるになってた
wp-config.phpには DBのパスワードが生で打ち込まれているので、それが読まれてたとしたらパスワードをどれだけ難解に、複雑にしていても無駄。
その上、グローバル側に開いていたとしたら、いわゆる今流行のパスワード流出問題と同じパスワードが使われてる可能性があるから
辞書的攻撃で一撃
仮に、辞書的攻撃くらってたとしたら・・・異常トラヒック検知が入ってなかったのねとはなるけど
値段から考えるとな。
が・・・MySQLを間違ってグローバルに開けるというのは、専有サーバーでも起きえるしなんというか、かんというか。
とはいっても、いずれにしろ、いつぞやの、ファイル全消しとかと同じで、今更言っても始まらぬ。
責めるより対処して火消して終了だろ。
元益田じゃないが。
http://d.hatena.ne.jp/ozuma/20120503/1335975957
