パスワード変更は計画的に

no extension

やっちゃいましたねぇ。 大惨事ですよ。

この脆弱性が問題なのは悪用されても痕跡が残らないことだ。 だからはっきり言って被害がどのくらいの規模になるのかは分からない。 分からないので最悪を想定して動くしかない。

海外では既に被害状況をまとめた記事が登場している。

Heartbleed がどんな問題か理解できなくてもいいので,少なくともこの記事は目を通しておくこと。 そして自身が参加しているサービスでパスワード変更が必要と判断されているものについては必ずパスワードを変更すること。

気になるのは,現時点で Twitter や Apple などが Unclear な状態であること。 そして日本のサービスの状況が全くわからないこと。 どーなってんの? IPA でも JVN でも JPCERT でも NICT でもいいから,ちゃんと旗振りして事態の把握と収拾に努めろよ。 くだらない論文のバッシングで遊んでる暇はねーんだよ!

幸いなことに今回のこれは,それほど緊急というわけではなさそうだ。 今のところアカウントを乗っ取られて云々という記事は見当たらない。 そこで,この週末は半日くらい当ててパスワード変更作業を一気に進めてしまうことをお薦めする。

(携帯端末のセキュリティ設定やパスワードに関する話は IPA の以下のドキュメントが役に立つ。

解説編にはパスワード解読にかかるコストなどが紹介されている。 これによると数字だけの8文字以下のパスワードの解読にかかるコストは1円未満だそうだ。 英字小文字を含めても100円以下。 恐ろしいだろう?)

ところで,いまだにパスワードを頭の中で管理している人はいませんか? セキュリティ上有効と思えるパスワードを頭の中で憶えておくなんてのは,はっきり言って脳味噌の無駄遣いです。 今すぐ止めましょう。

最近はパスワード管理ツールという便利なものがあります。 是非この手のツールを使って効率的にパスワードを管理することをお薦めします。 個人的には KeePass がお勧めです。

“Yes, KeePass is really free, and more than that: it is open source (OSI certified). You can have a look at its full source and check whether the encryption algorithms are implemented correctly.”
(via “KeePass Password Safe”)

そして Flattr のアカウントを持っている貴方は是非 KeePass に micro-donation を!

KeePass と KeePassDroid/Keepass2Android は Dropbox 等のクラウドストレージを使うことでデータベースファイルの同期をとることができます。 データベースファイルは暗号化すること(クラウドストレージにプライバシーはないと思った方がいい)。 もちろん鍵ファイルをクラウドに上げてはいけません。

パスワード変更は計画的に。 良い週末を。

しかし,今回の問題で OpenSSL に全く関係ない Microsoft が被害なしってのが皮肉というか何というか...

photo
OpenSSL―暗号・PKI・SSL/TLSライブラリの詳細―
John Viega Matt Messier Pravir Chandra 齋藤 孝道
オーム社 2004-08

マスタリングTCP/IP SSL/TLS編 iOSアプリエンジニア養成読本[クリエイティブな開発のための技術力/デザイン力/マインドを養う! ] (Software Design plus) 新版暗号技術入門 秘密の国のアリス Javaで作って学ぶ暗号技術 - RSA,AES,SHAの基礎からSSLまで Xcode 5 完全攻略

by G-Tools , 2014/04/11