投稿順表示 (142/283)

前のページ 1...137/138/139/140/141/142/143/144/145/146/147...283 次のページ

[2905] Re: 当然仮定すべきでは？

のぐー (2005年4月30日 21時45分)

>NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

私も実はこの日記を最初に見たときにそう思った。

>管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

これ、ずいぶん以前から「類推できるようなパスワードにするな」「パスワードそのものをメモるな」などと共にセキュリティの基本として言われていたような気がする。

[2904] 当然仮定すべきでは？

soda (2005年4月30日 19時50分)

NIFTY に限らず、どの ISP でも、ユーザのパスワードを知っている／あるいは知ることができると仮定すべきでしょう。

PPP の認証に PAP を使っている ISP なら、プロトコル上クリアテキストで送るわけですから、プロトコルダンプをとれば、当然分かります。

認証に CHAP を使っている場合、CHAP の仕様上、クリアテキストを求めることができる形式でパスワードをデータベースに格納する必要があります。CHAP の場合、プロトコルダンプをとってもパスワードは分かりませんが、むしろ、より簡単な方法で、管理者はパスワードを知ることができるわけです。

CHAP の方が盗聴には強いですから、最近はむしろ CHAP を使う ISP が増えているのではないですか？

NIFTY の場合、PPPの接続手順として、PAP を使う方法を図示していますから、確かにデータベース上ではクリアテキストで保存されてない可能性もあったわけですが、セキュリティ上は、それを仮定しない方が良いと思います。

相手が ISP であろうとなかろうと、共有鍵を用いた認証を行なう場合には、管理ドメインの違う接続相手には、それぞれ異なるパスワードを用いる習慣をつけるべきでしょう。

[2903] Re: 「証明書サービスのインストールには Workstationサービスが必要」

近藤＠古代図書館 (2005年4月30日 14時12分)

証明書作成は OpenSSH じゃなく OpenSSL かな。

[2902] Re: 用語「アスキーアート」

bigpap (2005年4月30日 0時39分)

　　　　　　　　　　　　　,. -ｧ'´￣￣￣￣｀ヽ､

　　　　　　　　　 rｧ'´ ／　, -'´￣｀`ヽ､｀ヽ､|`ｰ､

　　　　　　　　　 /ヽ／　＜　　　　　　　＞　　　＼

　　　　　　 /__, ------ ､｀ヽ､, -', -────┬ヽ

　　　　　　　　/　　　＿＿__　＼／　　, -─‐┐　ﾄ､　!

　　　　　 __|∧　　ヽ　　　＼＿＿∠------､　ﾉ　ヽ「｀ヽ､

　　　　　 ∠..」〉＼　 >r7T|￣|||　　　　--- ､　｀ヾ､_ハ-､__ ＼

　　　＜'´　r‐|X_rｲ|/, -|7'''|!` |ﾊ!　　　　 , -- ､　　ヽ＼/　　　／　　ＪＩＳ厨のbigbaka？

　　　　 `ｰ--〈 // |{|　r',==;ミ　　　　　 r'::乙j,ヽ　ﾚ‐‐ミr‐'´　　　ええ、知ってますよ

　　　　　､____ノ r‐､|ヽ! {::;;;;ｰ'!　　　　　　ヾ::;;;:ﾉ　　 |/i　 }ヽ､从　　何でも精神異常者で

　　　　　ゞ//　| rｨミ　 `＝'′　　　　　　￣　　　 |_ﾉ ∧＿_∠　　キチガイな事ばかり

　　　　 r'´::/ ／ヽ `i　　　　　　 :i　　　　　　　 |_ノ　ヽ|:::::::::::`>､言うので殺されたそうですよ（藁

　　rイ　ヽ::ヽ|ﾘ　| ＼!　　　　　　 __`＿___　　　　./川/|/リ::::::::／　＼

　　|　ヽ　＼:::＼ﾄ､ｨ lヽ、　　く/　　　ﾉ　　　／人|/〃::::::／　　　 `i

　　|　　ヽ　＼:::::::::ヾ从ヽ､　　 `ｰ--‐'　　／　/:::::::::::::::／　　　　　 |

　　ヽ　　＼　＼::::::::::＼'､｀''‐ ､　￣　_,　'´ 　 /:::::::::::::／ /　　　　　　/

　　　ヽｰ､　　　　＼::::::::::＼　　 /`''o 〉＼　 /::::::::::／　/　　　　　　 /

　　　　';:::ヽ　　　`i　　＼:::::::::ヽ_/　　　{　　/`´::::::::／ / /　　//￣￣ /

　　　　 |:::::ヽ.　　　',　　　|l＼::::::::::::ヽ---'´::::::::::／||　|/　　 //ヽ､＿,ｨ′

　　　　 |::::::::〉　__　 '､. 　 || 　＼:::::::::::::::::::::::／　 || /　　　//(`ｰ∠/

　　　　ヽ_/／　<　　ヽ _」L 　　ﾞヽ､:::::::／　　 .|/　　(＼ヽ∠二V

　　　　　ヽ/⌒´　　　/＼:::ヽ　　　　 |::::|　　　　/〈　　　ゝ､ヽ＼,.ク」

　　　　　　ヽ　　／:::::::::＼::}､＿___人人＿___j:::::ヽ　　　ヽヽ／/

　　　　　　　ヽ､／:::::::::::::::::::::/ヾ::ｰ---|::::|--‐/::::::::::::ヽ　　ヽ'´/

[2901] Re: 「ニフティのパスワードは読み出し可能」

ばけら (2005年4月29日 19時13分)

>パスワード照会を試してみました。

　私も試してみました。

　ブラウザ上にそのまんま表示されるのですね。

#いや、パスワードにタグ状の文字列を含ませておくと「そのまんま表示」されることは回避できるようですが。

　まさかこんなことになっているとは。

[2900] Re: 「ニフティのパスワードは読み出し可能」

鈴木 (2005年4月29日 15時55分)

パスワード照会を試してみました。

・必要なのは氏名、ID、電話番号、カード番号、有効期限、任意の4桁の数字

・入力後に送られるメールにURLが記載されており、そこにアクセスすると先ほど入れた「任意の4桁の数字」を求められる

・数字が正しければパスワードが表示される

上記のうち、@niftyが事前に知り得ないのは「任意の4桁の数字」のみですが、当然これをキーにパスワードを暗号化するわけにはいきません。

他の情報は@niftyに登録されている情報ですので、仮にこれらをキーにして暗号化されていても、システム管理者は復号可能であるということになりますね。

いや～。困りました。

[2899] Re: 「PGP 公開鍵を作り直し」

ばけら (2005年4月29日 13時28分)

>手元でパスフレーズの変更をしてみました。念のため以前頂戴していた暗号化メールを復号してみましたが特に問題を感じませんでした。

　……今やったらあっさりできました。

　gpg --edit-keys [鍵]

　して passwd で問題なく。

　なんか慌てて全てを速攻で変えようとしていたので、何かを間違えていたのかもしれません。

[2898] Re: 「PGP 公開鍵を作り直し」

スターダスト (2005年4月29日 9時57分)

手元でパスフレーズの変更をしてみました。念のため以前頂戴していた暗号化メールを復号してみましたが特に問題を感じませんでした。

Version: PGP 6.5.8ckt - ja: http://www.hizlab.net/pgp/

を使っています。

[2897] Re: 「PGP 公開鍵を作り直し」

y-Aki (2005年4月29日 7時42分)

パスフレーズだけ変更っていうのは可能だと思うんですが

やったことないのでほんとにできるかわかりませんが^^;

[2896] Re: 「ニフティのパスワードは読み出し可能」

asa (2005年4月29日 1時12分)

早速の対応おありがとうございます。小心者なんで心配してましたー。

>無料の@nifty　ID

というのがあるのをはじめて知りました。違いがあるのかもそうですが、いろいろ心配で@niftyホームページ内を調べてみました。2005/02までは葉書による再発行のみを行っていたようです。Webによる参照サービスは新しいサービスなんですね。そして＠nifty IDでは今でもパスワードは葉書による再発行のみのようです。

そうなると、昨年まで再発行しかシステム対応していなかったってことなんで運用を想像するに

「パスワードを確保するフィールド項目は１こしかない」

「登録終了の葉書を印刷するのは登録処理が終了した次の日（営業日だともっと期間が長い）」

だから、葉書が印刷する時点でパスワードが変更されていたら変更

されていたまま出力されるってことなのかも。

昨年までは、葉書が届くまでお客様がパスワード変更はされることがなかったので上記のような運用でも問題なかったとおもいます。

でもそうなら、システム屋としてどうかとおもいます。ぜひ予想がはずれていること希望します（笑）