【麻呂】.zipのパスワードの解析技術 15文字でも15時間以下で解析可能に
■ このスレッドは過去ログ倉庫に格納されています
Support for PKZIP Master Key added to #hashcat with an insane guessing rate of 22.7 ZettaHash/s on a single RTX 2080Ti. All passwords up to length 15 in less than 15 hours with only 4 GPUs! Excellent contribution from @s3inlc and @EU_ScienceHub
https://twitter.com/hashcat/status/1129441728761610242?s=21
ふぁー…暗号化ZIP、GPUを使えば秒間22.7ゼタ(227該=227兆の1億倍)ハッシュを計算できるので、15文字のパスワードでもGPU4つで15時間以下で解読できると。エラい時代になってしもた
https://twitter.com/archangel_ht/status/1129662453975937025?s=21
https://twitter.com/5chan_nel (5ch newer account) メールでパス付きzipを送った後にメールでパスワードを送る日本企業ってなんなんだろうな ,;:⌒:;,
8(・ω・)8 もっと強度の高いハッシュアルゴリズムを使えばいいだけだろ >>4
しかも添付したメールへの返信でそのpass送るからな >>4
破られないことを考えているのではなく
漏洩対策を行った事実だけの行為です。
君が心配することではない。 昔ネットでひろった奴はだいたいrarだから意味ねーな 俺の残金98円の貯金狙うために15時間使うとは
こわいやつらや バーガーのパティを積み重ねてゼッタマックとかヨッタマックとか言ってたのはもう何年前になる? >>19
なんで笑えるの?
手動の方がやる意味あるぞ そこまでして解析する必要がある情報をインターネットで送るのかという疑問 これはまたクソヤベエなw
まあネットを介した瞬間、安全性なんてものはないけどさ…。 すげーな、漢字で16桁のパスワードもそんな短時間で解けるようになったんか
ちょっと昔のファイルを探してみよう そんな時代になったのかぁ…
>>4
どこが始めたんだろうね
まぁ暗号化せずに送ることもできる アルファベット大小あり記号数字ありで15時間以内?
そりゃすごい >>22
,;:⌒:;,
8(・ω・)8 どうなんだろうね
海外の大使館とかに暗号化して機密情報を送るとかインターネットとか使ってるんだろうか
アメリカもロシアもインターネット盗聴してるだろうけど破るのは不可能なんだろうな これ一々解析するより
ハッシュ値すべてのDB作って二分値検索すりゃ一秒以下じゃねーかと思った >>30
解析用のPC用意するのはともかく専用のプログラムもいるんじゃないか?
準備したらサロゲートペア15文字でテストだ >>4
大昔に始めてしまって今更辞められないならともかく
うちは先月導入だぜw >>34
ハッシュ値すべて?
置く場所はSSDでいいのか? >>7
いつの何かに落とせなくなってたなぁ。別にアングラツールじゃないのに >>4
を否定する奴って意図が理解できてないだけだろ?
人間はミスをする可能性があるから
リスクを減らす為にやっているんだよ FAXって傍受できたらダダ漏れじゃないっけ?
zipパスワードは傍受されても開けなきゃOKって技術な訳で。 最強なのは部分的でいいから独自ソフトで暗号化して
客先に復号化ソフトをメディアで郵送する
アルゴリズムも秘密なので傍受してもほぼ解読不可能 >>5
PKZIPは特定文字列の出現確率が非常に高いので、そこを突く感じだろうね
RTX2080を4枚差しても総演算は毎秒2ギガハッシュは超えないんじゃないかな?
二二七垓(該ではないw)を計算してもそんな大量のデータを格納する主記憶がないよね
逆にTesla P100のカードを4枚差してやれば、こちらは毎秒10ギガハッシュくらいの演算ができるんで、同じ作業なら4-6時間で計算終わるはず
ライブラリも含めたら幾らするのかは考えないがw 頻繁に変えるのも複雑にするのも今となっては無駄
バレそうなところやバレてまずいところにアクセスしないというのが防衛手段になる >>38
ああ、凄いデータ量だな
ハッシュ値の頭数バイト(必要バイト)ごとを索引にしてディスク入れ替えたらどれ位の数になるんだろ そういえば、学生時代、そ
とかいう偽装解除ツール使ってたな。 >>4
これ日本だけの慣習かと思ったら
アメリカから来たメールでもあってビックリした >>46
パス付きzipを送り間違えたらどうなるかもわからんの パスワード忘れても安心
パスワードを送ってもらわなくても解凍できるから楽ちん >>23
ゆとりはアナログとデジタルの意味すら分かっていないんだろうな・・・ >>52
何で?
郵便配達や運送屋が勝手に開けたらアウトだけど。
それさえ嫌なら手渡し ダウソ板で拾ったパス付きエロ動画が
やっと救出されるのか… >>54
パスも同じ相手に送ってるだろ?
バカか? 暗号って結局計算が膨大だから
解けんだろ的だからね
性能上がれば、そりゃ解けるだろう >>54
間違えたところにパスも届くんだから意味ない 1文字って何パターンあるの?
アルファベットの大文字小文字と数字だけでも62通りあるけど >>46
送り先を間違えると大事故になるから
時間を空けて2回に別けて送信する事で
万が一1回目の送信で間違えていた場合に情報漏洩を防ぐ
1回だと取り返しがつかないから >>57
本当に狙ってるやつはそのソフトがインストールされた
PCそのものにアクセスするだろうな
あるいは暗号を解いた後のファイルを狙う こんなん量子コンピュータで10秒も掛からず解かれるって言われてるし
既存の暗号技術なんて全滅っすよ >>4
嘘だろ他所はそんな事してんの…?
せめて公開鍵でも使えば良い物を… 何のアルゴリズムで暗号化しているか分からなければ解読は不可能に近い。
ダミーパターンを入れれば尚更 >>64
時間置くことになんの意味が?
大抵何も考えずに同じメール宛先リストに対して
2回送信されるのでどういう効果が?
時間の無駄でしかない >>68
いや時間で回数制限なりファイル消去なりすりゃいいだけだろ。 つまり10文字ぐらいだと一瞬で解けるし、20文字だと完全に無理、ってとこ? アルファベットと数字だけの場合だろ?
漢字とかよく分からん国の文字が入ってたらアウトだよな? >>67
今議論しているのはそう言う話ではない
相変わらず誤り認めたら死ぬの奴いるな ファイルを大量にコピーして、範囲を分けて調べればもっと速くできるのかな? >>76
いや、そう言う話だろ?
自分が間違ってんだから認めろよ >>60
本来メール送信前に送信先を確認するルールになっている
それを2回繰り返す事でエラー率を減らすのが目的 >>79
じゃ最初から2回確認するルールにしたらいいじゃん
バカなのか君達は? >>64
絶対同じ送信相手選ぶよ
だから意味がない
反論どうぞ >>82
何が安全なのかの本質よりルールや形式が大事か?
バカだなあ本当に >>33
駐米ロシア大使が本国外務省に送った暗号電文をアメリカが解読している。
これがモラー報告書の最高機密部分。
これは大統領がOKしないと表に出ないから、トランプは強気。
たぶんもっと危ないロシア情報機関の最高機密電文もあるのだろう。
真珠湾では日本の外務省の電文が完全に破られた。
今でも(官僚の習性から考えて)同じことだろう。 >>4
あれ意味あるのかな?
面倒だからやめて欲しい
転送で送ってきてパスワードは送ってこない会社とかまであるし >>72
何も考えず2回送信してしまうような奴は事故を起こして首になってくれ
少しでも事故が回避できる可能性があるのだから意味がある >>77
理論的にはそうなるんだろう、15台で範囲分けて同じ事をやれば1時間だ。
結局の所は単なる力技なんだから。 大小英数記号込みだな
確かに単純並列出来る超多コアGPUなら
かなり短縮出来るが、ここまでとは、常識が変わるな こんなことならパスわからなくて削除したzipとっときゃよかった >>87
そもそもご送信とファイル暗号かは全く関係ないだろ
添付ファイルがついてなければスルーか?
大バカものw >>87
パスワード付きの見積もりや発注は後回しだよ
面倒だから
同じのが競合他社から来てたらそっちが先になる覚悟でどうぞ >>89
うちがそうです\(^o^)/
でもEメール確認しない取引先も悪いんですよ 短い時間に何回もアタックできる仕組みはどうにもならないの? ファイルが多すぎて15時間じゃ地球滅亡までに間に合わんw >>89
受け取る側のセキュリティがしっかりしてれば(プリントアウトした紙を覗き見られなければ)、FAXって堅牢だよね
相手方がちゃんと受信→出力完了したか分かるし 来るきっと来る♪♪
>>54
送信間違い1回ならセーフ、2回連続はアウト。
2回連続の可能性は、若干少ない。 >>4
送られてきたパスが間違えてて開けんかった。
電話かけて聞いたよ。
そしたらセキュリティのためわざと
間違ったパスを送ってるって言ってたけど
たぶんウソ。 >>87
添付ファイルの内容をめんどくさいからメール本文に書いて誤送信したらどうすんだ? >>83
メールを2回に分けて送るのは
ご送信もだけど1通目拾ったやつが2通目拾わない確率を上げるためでもある。 これまでは15文字もあれば現実的に計算不能とか言われてたのにな… >>4
今から15年前の北欧とアメリカにもこの文化はあった >>47
独自ソフトなんてすぐ破れるに決まっている。
NTTの頭脳を結集して作った暗号ソフトは、最弱暗号の一つといわれている。
各国がしのぎを削って解読しているのは、相手の国の独自暗号。
市販品を使っている小国(たとえばカダフィのリビア)はのぞく。
あんな暗号を使っているから、結局簡単に倒された。 >>101
添付ファイルないメールはどうでもいいの?
ほら自己矛盾w >>1
これって結局、やろうとしていることは
ブルートフォースなんちゃら等の力技であり、
凄いというのは、その処理速度(計算能力)だってこと? >>89
重要な個人情報を扱うときは
FAX番号に電話して、出た相手と話をして
「では、これからFAX送信します」で
FAXに切り替える
これが最高のセキュリティ 例の人の解けない圧縮ファイルが解凍される日が来るのか ダミーパスワードによるファイル自己破壊くらいしか対策はないな 忘れ去られた結婚前のハメ撮り動画が10年後には1分で破られるように成り阿鼻叫喚なんだろうな >>94
暗号化して送付するのは機密情報だから
普通のメールに機密情報は含めてはいけない 不審なzipは開けるなとあれほど言うとるのに
片やこじ開けてでも開けようとする力の無駄遣い Windowsって一度パスワード付きzipを解凍してしまうと
パスワードを覚えてしまってダブルクリックだけで中身見えちゃうよな
あれ何とかならないの? F−14でパスワードの入ったフロッピーを送るのが安全だね(´・ω・`) >>97
ファイルの転送時に回数制限ありのパスワード入力を必須にすりゃいいだけの話ではある。
つまりパス付きロダだが。
ローカル?
偽装出来ないオンライン認証必須の解除形式にすりゃ
コピーして無制限総当たりは出来ない。
もしくは生体認証にでもするか? >>110
ヒカ碁の原作者が、発売より前の世紀末リーダー伝のネームが自宅のFAXに間違いで届いたって言ってた >>124
旧世代のエロ遺産が取り残されているのだ ZIPにはな >>1
いわゆる総当たり攻撃の時間。
ZIPには欠陥があって、もっともっとたけもっと、短くできる。
それを隠すための話+新しいGPUの宣伝。 >>97
無理だな
仮に一回しかパスワードを試せない仕様だとしてもファイルそのものを複製してしまえばそういった制約は無視できてしまう >>123
じゃパスワードも機密情報だから
2回目のメールは送信できないね >>112
どうでも良い内容しか送っては駄目なルール >>128
それをするくらいなら、パスワード文字数を1文字増やす方が良いわ。
とりあえず32767文字以上にするか。 結局誰も暗号化ファイルと、パスワードを送ることの意味をきちんと理解してないw >>4
Excel方眼紙を賞賛する生産性の低い日本のIT文化だからなw >>11
その無意味さがTHE日本企業って感じだよね >>136
本当にいいのかそれで?(笑
tcpdumpでモニターしていれば簡単にわかるよね
意味あんの? >>105
1回傍受されてれば2回目も傍受されるっての ちょうど仕事の関係で昨日調べていたのに、えらく短くなってる
zipのaes256で15桁パスワードかけたら何日くらいになるんやろ excel方眼紙はレイアウトやら簡単な図面作る時に重用している。
cad送ったって開けないんじゃ意味がない。 >>139
ジャップのホワイトカラーはデータベースなんて使えないからw >>138
>>140
セキュリティ屋さんとか企業の中の
セキュリティ管理部署とかが自分の仕事を守るために
ルールを作って、血眼になって守らせようとするけど
ほとんど無意味な世界 GPUでパス解析ツール自体は数年前からあったはず
コイン掘りに使ったリグ使えば解析早いだろうな
特に中国の工場レベルなのとか ピカいつのまにかcuda使えるようになっとったんか
時代に追いついたな >>87
お前そのものがセキュリティホールだから消えてくれ >>151
パスワードは弊社のFAX番号ですとかにすればもうちょっとマシなんだがな >>4
再送信でパス書いたりするんだよな
アホの所業でしかない >>4
それでも何もしないと法律違反になるから。最善を尽くした感を出してるだけ。あと、何もしてない時よりリスクが低減しているのは間違いない。 >>149
手段が目的化する日本企業らしい文化だねw もう20年以上もマスク解除できないムフフ画像があるんだけど
これなんとかならない?すっげぇらしい
CPマスクだと思うんだけど… 時間式のワンタイムパスワードか何かで良いだろ、
世の解析速度が上がれば上がるだけ
暗号化速度も上がるんだから。
>>156
電話番号ではたまにやる。 >>162
その時代の画像って、フィルムスキャンだし、解像度低いから解けてもガックリするだけだと思う 早くもID:bJaqChgE0が追い詰められてまいりました >>150
間違えて送った1回目の時点でアウトだよね
お前の理論だと パスワードをメール本体に添付して送る
これがWINNYの正体。
誰かに見破られるのは最初からわかっているはず。
最高機密のFAXはだめ。
文字より情報量が数十倍多く、繰り返し部分が多い=解読しやすい
だから暗号化FAXでも強度が非常に弱い。
(たとえば100文字の情報量は200バイト、FAXだと圧縮しても数キロバイト)
俺が産業スパイなら通信傍受・暗号解読資金をほかに回すが。 ターゲットアタックの相手にされたら、こんなの無意味
逆にいうとターゲットされない限り、平文で送ったって大したリスクはない
送信先チェックとか言ってるのは全くわかってないやつ
ルール守る前提なら、2回送信先チェックをするルールにすればいいだけ
本気出されたらまずウィルスメール送って乗っ取って、パケットモニターで
そのフロアのすべてのパケット調べてパスワードらしき文字列を抽出、
で、添付ファイルも抽出してバックドアから放出くらいはできる >>4
パス付ファイルが傍受される状況ならその前後のメールもされてるよね。
出来る企業はパスを打ち合わせで共有してる。 とりあえずソース元を読んでみたらPKZipを使わなければ大丈夫という事かいね
7zとrar派のワシ低みの見物 >>161
どう言う効果があるの?
冷静に考えろよバカ
最初から「2回チェックしましょう」ルールと変わらん >>157
時間を置いて再送信する事に意味がある
改めて考え時にはミスに気付く時がある
文章を2回読み直すような物
遅延送信何て言う機能もある そして出てきたのが、拡張子を変えたZipファイルという罠 >>122
作者さんのページってのが抜けてた。スマソ。
辞書はたまたま一太郎9持ってていいのができた。へへ >>161
添付ファイルのないメールは誤送信されてもいいのか? 添付ファイルを平文で送ったからってわざわざ傍受してみようってやつはいないよなぁ。でも誰かが平文で送るのは、情報漏洩と同義とか言い出したから、責任回避でやってるだけだよね。 ほんなら24文字にしたらええやん
まあ暗号ファイルなんてやり取りせんけどな今時 メールの添付ファイルの自動パス付zip送付ってさ
5分ぐらいしたら自動で鯖からパスワードが送られるなら
「あっヤベ間違えた取り消して」のアクションを取れる可能性が出てくるからまだわかる
同時に送ったら意味ないよね >>172
何もわかってないなw
こんな奴が「セキュリティ部」なんだぜ?日本はw 256bitのAES暗号でも4日ぐらいで解除してるからrarだろうが何だろう7がもはや埋め込みパスワードも暗号化も価値がない
NSAの監視から逃れるのは難しくなってきている >>167
誤爆するような産業スパイはいりません(´・ω・`)
【国際】中国、イラン産原油輸入か 制裁違反とロイター報道
357 :名無しさん@1周年[]:2019/05/18(土) 20:47:55.57 ID:LKGr/FkL0
ファーウェイ創業者“米撤退の可能性も”
https://headlines.yahoo.co.jp/videonews/nnn?a=20190518-00000299-nnn-int
◆◆◆スレッド作成依頼スレ★1269◆◆
462 :名無しさん@1周年[]:2019/05/18(土) 20:50:01.08 ID:LKGr/FkL0
お願いします
ファーウェイ創業者“米撤退の可能性も”
https://headlines.yahoo.co.jp/videonews/nnn?a=20190518-00000299-nnn-int パスワードはもう100文字位にしとけばいいだろ。
これなら流石に一億年経っても解析不可能だろ。
そうなの覚えてられないってか。
15文字も100文字も同じなんだよ。
どうせ覚えきれないから、メモからコピペするだけ。 >>172
今は自動でやるんだけど?
一回送り先リスト作ったらそのまま何も変えない
アンタの言ってるのはほとんどの企業の実態じゃないよ >>170
いや、要は解析速度が上がって15文字程度のパスワードは15時間で破られるって話なんだから、
それが7zだろうがrarだろうが777だろうがDGCAだろうが…
DGCAはパスファイルを使う変態形式か。 >>161
誤送信したら不味いものにセキュリティを施さなくていい、って考えがまあアレだよねw >>186
ID:bJaqChgE0に掘られます(´・ω・`) >>118
甚大なリスクを伴うビジネス
例えば東京、名古屋間の取引
リニア新幹線で取引先に伝えて戻ればいいよ
物理的に安心だし、往復でも駅で待ち合わせれば3時間程度
これ最強 パスだけ別のメールで送るのはうちの会社でもやらされてるわ
正直くそ面倒なだけで意味ない
しかも見られても誰かが首吊るような機密文書でも何でもないし >>171
2回チェックルールその物だよ
人間ってメール送った直後にしまったと気付くことが結構あるらしい >>169
傍受対策じゃなくて誤送信対策な
2回続けて同じ相手に誤送信する確率は低いという考え方に因るもの
もちろん送り手が阿呆ならその限りではないけど ファイルを複数に分割してそれぞれにパスワードフルか 日本語と中国語の漢字を混ぜたパスワードなら突破できない? >>4
会社からはそれでやれと言われているが、さすがに問題があると思うので電話で伝えているわ >>195
チェックになってないだろ実際はw
認めろよ
その程度で気づくやつはそもそも間違わない
で、なぜ添付ファイルだけ?
パスワードも漏れたら困るんだろ?w
自己矛盾に気がつかないの? >>196
セキュリティ対策は阿呆を前提にするものだよ
わかってないなあ ノーガード戦法最強だと10年前から言ってるだろ!!!!
1週間ごとにBIOSクリアからの再インストールしろよ
そして個人情報は入力するな 必要時以外は何にもつなぐな
どんなセキュリティソフトでも必ず穴がある
結局は再インストールしなきゃならないんだから
最初から入れるなよ
もちろん、セキュリティ入れてから週に1回再インストールすればいいけど
セキュリティ入れると必ず慢心が出る
週に1回のはずが2週に1回、3週に1回と果てには月1回にまでダラけてしまう
だからこその「ノーガード戦法」なんだよ
結局、一番の穴はPCの中にあるんじゃない
それを扱う「人間」が一番のセキュリティホールなんだよ
電算室が必死こいて作ったセキュリティシステムのパスワードを
付箋紙でモニターに貼る他部署のカスとか、ああいうのがセキュリティホールなんだよ
人間死ね >>203
それ立派なガード戦法で
「ノーガード」じゃないんじゃないの? ファイルとパスを分けて同じメールと言う形式で送るってのは頭が良過ぎて理解し難いわ、
いっそ片方はLINEで送っとけ。 何これ?
PCの性能が上がってブルートフォースアタックが速くなったってこと?
新しい解析プログラム技術ができた訳じゃないのかね >>195
セキュリティの基礎なんだけどな
玄関に鍵5個も10個もつけたら、人は裏口から出入りするようになるって
手数増やせばヒューマンエラーのリスク上がるんだよ
>>203
俺が会社で使ってるPC、個人情報入ってないし起動時にリセットされるんだが GeForce RTX 2080Ti×4で15時間なら数十日かけりゃ数万円程度のグラボでも15桁パスの力技こじ開けが可能か。
コレでパスワード忘れちゃっても安心やな。 >>201
添付だけ機密情報だから
実際に平文を含めては誤送信は報告されてるが
うちではこのルールで防げた重大事故案件が年2件ほど報告された >>4
あれには意味があるんだよ
1. to、cc、bccにパスワード付のzipを添付ファイルで送る
2. toだけに添付ファイルのパスワードを教える
みたいな事ができる
情報はシェアしたいけど、ファイルまではshareしたくない場合に重宝するのだ
他にも意味があるけどな >>4
誤送信防止だろ。
2回に分けて送れば2回誤送信に気づくチャンスがあるわけだ >>209
>添付だけ機密情報だから
その時点で臭いものに蓋してるじゃんw
重大事故が2件の裏に報告されないもみ消しが何件あった?
セキュリティは君らのためにやってるんじゃないよ 予めメールでお知らせした固定のパスワードをずっと使い回しリサイクルしてる
会社はあったな。
ちょっとマシなのは毎月変更になる。メールの山に埋もれてパスワード変更通知メール探すのに苦労する。 >>210
他のやり方しろよ
ずっと効率的にできるぞw >>4
お前は同じ相手に二回誤送信すんの?
このレスだけで程度画しれるわ
落としたけどパスがわからんzip残してたらよかった… >>215
効率の話なんてしてないよ
俺はアレは馬鹿だと思ってる
何の意味があるの?という話 >>215
未だにFAXで注文を受け付ける業者があるのはどういう意味があるの?
に対する答えみたいなもんだよ >>208
AmazonとかでGPU付きのサーバー時間貸ししてるからちょっとだけ利用も出きるな。 ところで>>4で、だいぶバカ(頭コチコチの向いてないセキュリティ屋さん)が連れてるけど
>>1に戻ると、その「暗号化ファイル添付、パスワード別送信」が最短15時間で
無意味になるってことなんだけど、そこはセキュリティ屋さんとしてどうなの?
自分たちの仕事、ルールの押し付けが無意味になるんだけど? >>212
機密情報は添付でしか送付していけないルールなのだから
別に臭いものに蓋をしてる訳ではない >>225
そうそう、
「誤送信防止のためだから俺たちの仕事に影響ない」
って強弁してるけど、無理だよねそれ
だいたいうちも自動だから同じ相手に続けて送信されるし
そう言うところがほとんどなはず zipにしたデータを記録媒体に入れて郵送すればいいな >>226
そもそも誤送信しちゃいけないルールなんじゃなかったっけ?
守られてないよねそれ?
機密情報添付ルールが守られている保証は? ・強固なパスワードを設定してくれといいながら英数字しか使えなくてしかも大文字小文字区別しないタイプ。
・数字だけの「暗証番号」しかも4桁とか。最初期は堂々とキャッシュカードのMSに書き込んであったとか。
・どんな文字が使えるか明記していないパスワード設定 >>4 ちゃんと両方送ったことを証拠立てて上司に報告せにゃならんもの 「これを、この暗号使って、このPASSで・・・」だよ メール送信する前に2回本文読んでチェックするのに
送信ボタン押した途端、書き忘れとかに気づくことが結構ある
それをどうにかしたい >>223
ネットの合鍵屋みたいなサービスができたりしてな
解析一時間につきいくらとかで とは言え替わりとなる方法もなかなかないしな。
知り合いの会社はビジネス用の宅ファイル便を使ってて例のトラブルで大打撃だったそうだし。 そもそもzipなんかセキュリティもくそもないだろ
ファイル自体が流出してたら意味がない
フロッピーに98フォーマットでデータ物理的に渡せば海外の面白半分のハッカーなんか無視できる
パスワードは全角かなカナ漢字と半角カナ交じりにすべき
英数字だけとかセキュリティ低すぎる >>201
横からすまんか二回チェックを社内的にも社外的にも確認できる方法として有用性は確実にあるよ
「犯罪はやめましょう」というだけで
犯罪がなくなるなら警察いらんのよ
ルールを実行させ監督者が容易に確認できることは大事なことだよ
二回チェックを徹底させるシステムにおいて代替案はあるかい?
それが有用ならうちの会社にも取り入れたい
・確実性
・実務的であること
・コスト
これらの観点で見たとき暗号化ファイルとPWを分けるのは有用だとおもうけどね >>232
いちいち上司に報告すんの?
普通、社内からの全てのメールが自動で上司/会社にBCCされてんじゃないの? >>4
ジャップに理論的とか合理的とか求めるのが間違ってる 「暗号化ファイル添付は2回送るから誤送信防止になる」
→ これ全然わからん、理解不能
そもそも自動でやるところがほとんどなのに
1回め間違えてたら2回目も間違えるだろ普通
添付ファイルがなければチェックしないのか?
そう言うこと言ってる人は>>1に対して「大丈夫、
きっと大丈夫・・・俺は正しい、何も変える必要はない」
って、自分で自分に言い聞かせるために言ってるよね >>240
うーん、それは普通と言えるほど一般化してるとは思えないー 俺の重要.rarのパスは24文字だな どれくらいで破られるんだろう >>242
「意味のないルール」はそうしたもんだよ
で、それでいいの? >>234
昔、パソコン通信のNiftyServe内のメールでは、相手が開封したかどうかが
システム上判るようになっていて、相手が開封前なら送信ボタン押した後でも修正・取り消しができた。 >>246
rarもzioもパスワード無しで無理やり開く方法があったと思う >>4
それは別にクラッキング防止のためではないんだが
先方が誤って、関係ない人にその添付メールを転送しまってもダメージ小さいようにするぐらいの意味だが >>247
実際に年2件防げたと言う結果がある以上意味があったと言う事だ >>252
論破されてんのに同じことを何回も何回もw
仕事でわざとバカになってるんだろうが、自分で悲しくならんのかねw >>46
それは別にクラッキング防止のためではないんだが
先方が誤って、関係ない人にその添付メールを転送しまってもダメージ小さいようにするぐらいの意味だが >>252
「誤送信防止のためにファイル暗号がしてます」
なんて初めて聞いたなあ >>243
別経路でパスワード伝えない限り誤送信防止にしか役立たないからパスワード届く前に送信者がチェックしなかったらどっちにしろザル >>253
自称「年2件」にどんな意味が?と返したはずだが?
隠された報告されてない事象はどんだけあった? やればやるほどいいのはバカでも解る
ロスするものを考えないバカ やる奴は一切確認せずに、
メールを再利用して同じ相手に二回ファイルとパスを誤送信する。
なんせメールソフト自体がそれをさせる様に出来ているんだから。 >>33
ホントに大事なものはUSBメモリで直接手渡しが安全かもしれないね。 >>259
例えば対策無しで10件発生していた所
発生が8件に押さえられた訳だ
意味があっただろ? >>261
え??
アーカイブと圧縮の2つでしょ・・・? 電子メールはかようにセキュリティセキュリティ言うのに、
FAXは野放しなんだよなー。あれなんとかならんかな。
今どきはどうせ出す方も受ける方も電子データのままだろ?
郵政省メール/はがきもまぁ、野放し。ちょいとテックニックあれば
封筒もシールしたはがきもこっそり見放題なんだっけ。 >>265
はい、意味ありますね!
是非は別として >>265
もうその会社はさっさと潰れろとしか思わん >>253
その2件のために割かれるコストを天秤にかけてメリットあるの? >>1 のニュースが脅威!ファイル暗号化ルールの意義が問われかねない
会社のルールを変えなくてはいけないのか、と上から聞かれてしまう
→ そうだ、暗号化は機密情報保護が目的ではなく、誤送信防止のためということにしよう
それで俺のセキュリティの仕事が守られる
(今ここ) >>267
何言ってんだ、うちの取引先は未だ紙だ。 >>256
IPAの資料に書いてあるよ
https://www.ipa.go.jp/security/antivirus/documents/07_mail.pdf
「◼︎添付ファイルのみ暗号化したメール
メールそのものの暗号化とはいえない方法ですが、添付ファイルとするドキュメ
ントを事前に暗号化しておき、メール送信で添付する方法が、お手軽です。
復号のためのパスワード等は、別の通信手段を利用して相手に伝えることが重要ですが、
ドキュメントを暗号化する方法は、市販ソフトを利用したり、ドキュメント作成ソフトウェア
(Office 製品等)や圧縮・解凍ソフトが用意している暗号化(パスワ ード保護)処理を利用することが
できます。
この方法でも、重要な情報を誤送信したとしても、復号のためのパスワードがなければ情報
漏えいの被害を起こさないので、効果的です。」 そういや、パスワードを定期的に変えるのは無意味ってお達しが国のどっかの機関からあったじゃない
あれから民間では何か動きあったのかね >>140
まさにそれ。
元のzipファイルが漏洩するなら同じ経路で伝えたパスも漏洩すると考えるのが普通の頭だからな。
思考停止の極みだと思うよ。 >>265
おい、8件って・・・それ全然意味ないってことじゃん
おまえ「リスク」ってわかってないな、その仕事向いてないぞ >>1
パスワードを日本語にすれば外人には分かるまい お手軽暗号化なくなったか
AESとかも簡単に暗号できるだろ? >>275
microsoftが提言して、やっと国が対応し始めた
我が社で提案したところ却下された >>254
そりゃもちろん悪意のある相手に間違って転送するほど間抜けなことされたら意味が無いが、普通は間違って転送した相手に「ごめんごめん、削除しといて」とすれば好奇心で解凍して覗かれることもないからな。あくまで普通の相手ならばだが。 意味がある
効率的である
2つをごっちゃにして考えてる人って、頭悪そう・・・ 一文字増やして16文字にしたら何時間になるのだろう? >>275
うちの会社は月一変更8文字以上が、英数大小記号混じり10桁無期限になったよ。 >>270
当然意味があると会社側が判断したから実施してるのだろう >>274
ここの連中が言ってるのは、
「2回メールを送るのでチェックが2回になる」
ということなんだが、それとは違うだろ
で、その意味なら>>1のニュースで今日から意味がなくなった 年間千件発生して止められたのが2件だったかもしれんし。
調査した訳じゃないんだから分からんよね実際のコスト/損失/効果の比なんて。
爆撃機の改良の話を思い出した。
帰ってくる爆撃機の銃痕調べて、沢山弾を受けたところを装甲強化かと思いきや、
弾受けてないところを強化させたそうな。曰く「帰ってこれなかった機体の事考えた」 >>4
でもねえ、後になってそのzipを解凍しようと思ってもパスワードのメールがなかなか探し出せないんだよ
だから意味はあるんだよ で、インテルCPUの内蔵グラボでも15時間?
それだととょっとな zipのパスが解析でわかっても偽ファイルだったらがっかりする。 YubiKeyとかなんで一般的にならないんだろう
Googleではそれでフィッシングがゼロになったらしいじゃん
今どきパスワードだけとか危険すぎるのねん >>287
俺のレス先にはそんなこと書いてないけど >>281
実のところ、「今更そんなこと言ったって困るんだよ・・・」って困惑か逆ギレするところがほとんどでしょ
笑えるよな
日本のIT部門なんて全部とっぱらってMSに委託すりゃいいんだよ >>4
誤送信防止のためでしょ?
パスワードお車えに手動もしくは半自動でチェックせな >>288
>>265
10件だってよwww
意味ねえ >>279
単語ではなく文章にすると
辞書に載ってないから効果的ではある >>289
そんな大げさな
時系列でソートしたら大抵は前後にあるっしょ・・・? >>294
元は「誤送信防止のために・・・」
IPAは「誤送信されても影響がないために・・・」
全然言ってる意味違うやん なぜaaが貼れないのでおじゃるか!!
許せぬ! zipじゃ、zipを早うもて参れ!! >>302
磨呂はもう死にました
あきらめましょう >>298
あなた実世界の企業のこと理解できてないじゃなかろうか。
そもそも完全に誤送信や情報漏えいを企業が防ごうとは思っちゃいないんだよ。
まぁメールで送られるような情報は漏れてもどうってことないんだわ。 >>294
で念のためだけど、IPAのいう効果は
>>1で無力化されたわけ
ここで言われている「誤送信」は送信前に
気づくチャンスが2回になるので、暗号化かけてるという謎理論
これは俺も聞いたことないわ そのIPAからの引用部分にも、はっきり、
>復号のためのパスワード等は、別の通信手段を利用して相手に伝えることが重要です
って書いてあるじゃんか。メール2回送ったのはここには述べられていない。 >>306
1000件を2件に減らせたのかもというお花畑を言ってきたから
そうじゃないよと言ったまでだけど?
何カリカリしてんの? 俺がハカーで
膨大なメールをゲトしたなら
全部読むとかだりぃので
まず最初に暗号化ZIPでGrepるわ
前後メールから暗号フレーズ抜き出して自動復号化もスクリプト一発
暗号フレーズは正規化解析しやすいようにカッコで括ってくれてるしw 組織のルールはIT音痴のじい様なんかも含めて組織全体でセキュリティ底上げが目的なんだからアホの子でもとりあえず遵守できるレベルに設定しないといけない
効果無しと思える人はよりセキュリティを高くすればいいだけ >>308
それは否定しない。というかどんな暗号化も費用対効果の問題でしかないからな
暗号化zipに誤送信防止という目的がなかったというのは違うと書いたつもり >>311
俺にいうなよ
しつこく「誤送信に効果がある」と言ってるニートに言ってくれ
「他の通信手段」じゃあいつらの言ってることが成立しないよな 20年前から持ってる世界を崩壊させるというファイルの扉がついに開くのか!? >>4
誰にだってミスはある
zip添付メールを転送するときに、メルアド間違えて転送してしまうことだってある
でもパスワードが別メールで来てたら、両方転送することはないから解凍して見られることがないというわけ >>235
個人的なパスワードの保存は日本語パスワードのZIP保存してるわ
2バイト文字の解析はさすがに時間かかるだろ それでもしないよりマシなんだな。
どんな鍵だって時間かければそのうち開く。 >>324
>>315で君がいたのは
「誤送信防止」それとも「誤送信の影響低下」?
IPAは「防止」は書いてないよ。
誤送信そのものは防げない まぁ、アナログだけど電話で口頭でパスワード伝えるのが日本企業にはいい気がするね。
どうせ日本企業だとメールしたあと、そのメール読んでくれたかどうか電話で確認して
内容は電話しながら詰めるんだし。お客さんに電話する理由もできて嬉しいだろ営業マン。 PマークだのISMS認証ってのがあってだな
企業が善管注意義務を果たすには無意味なのわかってても従うしかねぇんだわ
万が一漏洩事故が起きたときのアリバイ 結局のところ、パソコン用のブラウン管の縁に、ポストイットでパスワードを貼るのが一番セキュリティが高いんだけどな >>1
マジかよ
ZIPどころか、その他アカウントを乗っ取られるんじゃ >>329
それ事実だから
重要な内容のメールはメールの後に必ず電話が掛かってくる >>327
ああ、そういうことか。正しくは誤送信対策だね >>332
それは清掃員に化けた工作員に潜入されて読み取られるパターンだろw >>332
そんな訳ないでしょ。。
それはセキュリティー事故多発案件ですよ。 プライバシーマークって運営団体ザルザルで。
どのぐらいザルかと言うと、今まで運用に嫌疑があって査察した企業が1社しかないという。
情報漏えい事件は日々社会を賑わせているのに。
そんな代物でもしっかり守るのが企業の努め。ご苦労さんです。 >>329
「きゅう」「数字の?」
「いや英語の」「大文字?小文字?」
とか1文字ずつ確認するのすげー面倒くさいけどな >>149
まあ、これだよな
パスワードを数ヶ月で変えなきゃならなかったのはここの勧告のせいでもあった
大企業ほどこういった縛りがうるさいんだよなあ… >>335
だから>>301なんだが
(2度目)
君以外の奴が、暗号化ルールは「誤送信防止」のために
>>1のニュースでも影響受けないと意地を張っている状況 >>341
ベネッセの前まで、どんな漏洩事故起こしても認証取消が一件もなかったという SSLもだけど
CAの秘密鍵もってるやつからしたら、中間者による解読って可能なわけで
有利な相手には秘密って守れないと思った方がいいのに
はっきり言って今のセキュリティ意識は過剰
同格の相手同士でのセキュリティの担保に収めるべきで
上位権限を持っている相手に対してからも守ろうとするから過剰になっている。 >>140
普通にアメリカでもやってたぞ。
最近は添付するんじゃなくて専用のアップロードサイトに載せるのが増えて少なくなったが。 >>342
フォネティックコードで伝える。まぁ組織によって若干違うけど。
あるふぁー、ぶらぼー、ちゃーりー、って奴だね。
ジジイ限定なら、ジャイアンツのG、阪神タイガースのTとか言う手もある。 パスワードでバルスってやるとファイルが自動消滅
開けごまって入れるとひらく >>348
なぜかGoogle DriveやOne Driveは使用禁止
(まあこれは金融を中心に米国でもだけど)
Google Driveで限定共有したほうがよっぽどセキュリティ
効果は高いけどね
でもそれでも「誤送信防止」のために暗号化ファイル添付ルールを
信じ切ってつづけるのかねえ? そら、あかんわ
i_can_not_open_the_sky >>352
1234567って入れるとデッドヒートで
passwordって入れると普通の人。 現在は英小文字数字混合8ケタを1分で完全解析できるとして
英小文字数字混合15ケタ=148992年
36の15乗は1兆の22億倍だから>>1の10倍だから150時間で解析できるのか。
だとしたら18ケタにすれば798年になるから安全だな。
sagura7941192ridorで18文字。類推されないように一字変えて
末尾は3文字以上の英字にする。 >>353
Googleの無料サービスはGoogleが中身見させて貰いますぜって公言してる代物だし。
実際には有象無象に見られるよりよっぽど安心だとしても企業としては推奨はむりむりかたつむり。 2000年初頭にやってたやり方は、暗号化zipファイルで送受信するんだけど、
パスワードに関しては、事前にやりとりする担当者同士間で、オフラインで「いつものパスワード」を決めておいたなー
「会社名の後に年月をつなげて。ただ、会社名の最初は大文字で」みたいにね
Foobar200109 みたい感じ
今思うとちょっとパスワード強度が弱すぎるけど、意外と楽だった てか、CPUに量子演算器乗るようになったら、暗号解析なんて一瞬にならんか? >>356
記号が使えるのも増えてきたよ。!とか$とか#とか。(とか)を片方だけ使うとか。 >>329
口頭で伝えられるくらいの長さだと結局総当たりで破られる確率も高そう
目的を間違うと意味のない対策 >>357
無料じゃないのもあるんだよ
Microsoftもやってる
つか大学はメールも含めて一切学務関係の
情報をMSやGoogleに投げてるとこが増えてる
成績とかも立派な個人情報だが、その方が圧倒的に
効率的だし、蛸壺システム独自開発より圧倒的に
セキュリティも高いというのが常識 つーか総当たりにかかる時間だろ?
5回間違ったら開封できませんにすれば問題なくね >>4
あれは送信者が自分の上司へ「ボクちゃん職場のルール守ってますよ」アピールするためのものだろ。
ジャップに合理性などというものを期待してはならんよ。
なんせ真夏の炎天下に北海道より北の国イギリスの民族服を有難がって着て通勤することに疑いを持たないんだからな。 >>353
Office 365のBusiness版を契約してればOneDriveは当然付属してくるのでOneDrive使えばいいってなるんだけどな
うちはG Suite契約してるから普通にGoogle Drive使ってるけど >>349
ほぇ、フォネティックコードかぁ
以前は英語で電話で会話することが多かったから、財布に虎の巻を入れておいて、
"A as in apple"
とかやってたな
軍隊じゃなくて日常生活バージョンの奴だった >>360
なるが、それを見越して、量子計算に耐久力のある暗号も開発されつつある >>365
君のPCでは情報が勝手に自爆でもするの? 暗号やセキュリティに素数が使われてるらしくて、数学者や素数研究者が何人か消されたっては話を聞いた
素数は解明されたら困るらしい >>363
まぁ、たいていの事は対策間違うと意味がないよね。
例えば英文を伝えて、その後この単語のココだけ大文字にしてねとか末尾は!にしてねとか
空白区切りの代わりに#使ってねとか言えば結構長文でも伝えられるけど、相手のレベルによる。 >>4
メールの本文にパスワードが書いてあることなんてザラ。 >>370
俺のパソコンは1ヶ月起動しないと使えなくなる。 >>364
無料じゃないのは「Googleがヒミツを守ります!!」って言ってるよね。
まぁ、それ含めて信じる信じないは企業判断ですな。 日本が力を入れていた楕円暗号は実は量子計算機の前ではイチコロとか
今までの投資が水の泡に・・・orz FPGAで解析システム作ればもっと早くなるってことか >>376
まあそれを疑うなら、企業のシステム構築、運用、ネットワークプロバイダも
信用できなくなるね
システム全部外には閉じるしかない >>379
進化する暗号に合わせてFPGAを自動設計するシステムが居るかもな。 >>379
ハッシュ計算後の辞書アタックだからあんま関係ない >>338
今のモニタはポストイット貼るスペースも猫が寝る場所もないからな。 >>349
ジジイ限定というなら
「大毎のデー」「松竹のエス」とかだろ >>380
そして社内にも無自覚スパイ・うっかりさんがゴロゴロ… そもそもパスとかほとんどかけねーし
かけるのは480000文字ぐらいだよ
特定ソフツのバグ利用じゃー本質的には安全ってこったなw >>4
パス付ZIPとパスワードを同じメールに書いてあったら
盗聴や誤送信したときどうしようもないから
もちろん別々にしても盗聴の可能性はあるから
パスワードは別の通信手段で送るべきではある /WWWWW.
iW」' __ __i
|W| '・`, '・`{ もう怒った
(6|}. ・・ }
ヽ 'ー-ソ PGPで家の中も全て暗号化する!
ノ、ヽ_/
/, ヽ
ト,.| ト| まあ、ZIP圧縮したファイルのパスワードはダミーで、
中のEXCELやWORDのファイルに付けたパスワードが本命な
何桁設定かは20桁か30桁かも分からないからな >>391
わぁ、なんか懐かしいAAだな・・・!
それが一体何かは忘れたけど
20年くらい前のAAかな? 暗号化したファイルはステガノグラフィーで送るとするか。
パスコードは電話帳の参照で ZIPは書庫ソフト(複数のファイルを1つにまとめるソフト)。
パスワードを使って暗号化したくて、附属の機能で弱ければ
別の強い「暗号化ソフト」でやるだけ >>10
パスワードのことパスって言うのやめてもらっていいすか? >>4
無意味なことやってるよな。
あの作業を自動化するシステムもあるらしい。
こんなものを作って売ってる日本のソフトウェア産業って終わってる(´・ω・`) パスワードをかけた上でバイナリエディタで何ヵ所か壊しておけよ 暗号化ZIPとかを更に暗号化ZIPする。それを何十重にも繰り返したのを
これみよがしにそこら辺に晒しておく。
全部解いたそこには「スカ」 今更zipなんて時代遅れ。
せいぜいユーザは日本ぐらい。
まぁ未だにfax使っているのも日本ぐらい。
日本は遅れているのを気づけ むかーし、むかし、ソフトのプロテクトで、フロッピーの特定のセクタに物理的に傷を付けておくってのがあった…そうな。 >>392
基本はパス付きzip圧縮したjpegに埋め込むのがパターンだった >>404 レーザーで特定のトラックを焼いておく方法は知っている >>364 セキュリティも高いというのが常識
古来曰く 「信じる者は、巣食われる。」
w >>1
ヽ ̄ ̄ノ
( ^ω^)CPUよりGPUの方が処理能力が上なのか?
ヽ ̄ ̄ノ
( ^ω^)前提条件が無いので良く分からんわ 関係ないけど、WindowsNT初期の頃、初期設定でうっかり漢字のID設定すると、
ログイン画面ではIME起動してこないと言う罠があった。 根本的なことわかってない奴が大勢いるが
自分で暗号化、パスワード別送りとか
どんな零細企業ですかw
自動です
送信者は普通に添付してメール送るのね
するとサーバー側で暗号化されて
送っちゃっていい?
と確認メールが返ってくるので承認するの >>4
写メールの頃よりも昔某大手にいた時、3ヶ月に1回ぐらいはプライベートメールが部署全員に
回ってくる単純ミスがあったな。そんなことする奴が2回連続でアドレスチェックしたり、
わざわざ2回目のアドレスを手動で選んだりするなんてとても思えない。 >.zipのパスワードの解析技術 15文字でも15時間以下で解析可能に
それ自体ぬすんだほうがはやいよ
これでセキュリティーエンジニアとかあふぉ過ぎてワロスw
>>1
総当たりなだけだろうけど、技術なのかねぇ。 >>410
それ言うなら
ユーザー名ですら漢字まともに使えるようになったのは10以降じゃね? >>411
へぇ、それは参考になるわ!
最近は大企業絡みで仕事してないから、知らなかったわ >>404
でもアインシュタインとか言うドライブの中に入れる機械がなかったか?
当時小学生でよく知らんが
たしか有ったと思う >>411
自動化されているかどうかが根本的な問題では無いとスレ読んで未だに判ってないあなたにビックリしている。 >>400
ウチの会社は、添付ファイル付きのメールを送信すると
自動で20桁くらいの暗号を自動排出するな
大小英数字だけでなく記号も勝手に使っているから
送られた方は面倒臭いと評判悪い >>1
あと・・・難癖付けると
ビットマップ形式で
モザイクのパターンも解析するのもあれば、ほぼほぼ解析できると思う
だいたい、モザイクパターンで、前後10コマ送りで、解析できるから
めんどいけど、暇つぶしにやってた思いであるかなぁ〜ぐらいのエロ知識しかないけどなぁ〜
勉強?
スポーツ?
そこそこしてたよ・・・でもまぁ〜あんまり意味ないと知ると
バイトかゲームかエロか
たまに筋トレするぐらいの毎日しかなかったけどなぁ〜
ぐらいな人生でよければ、また、始めますが・・・(´・ω・`)・・・ >>419
まあ、それくらいのスレチはいいんでね? >>411
会社によって自動化してるレベルは様々だよ
暗号排出だけ自動化してメール送信は別途に人力とかも普通にある 黒翼はまえぼ謎じゃむみかんFCさくらGCA2猫缶EDでんこ、消えてたらメールで再補完 zipはメールで送ってパスワードはハッキングされないように葉書で送るのが
ビジネスマンのマナー >>419
社運に関わるような重要なファイルでもないのに、いちいち自動で暗号化される的な話じゃないの 時間が経つにつれてパスワードが変化するってのはどうだろう?
送った相手にはパスワードではなく、時間が経つにつれて変化していくパスワードの算出方法を伝える。
または、日頃からやりとりのある相手なら算出方法の一部を変更出来るように作っておいてあらかじめ共有。
メールを送る時にはこの変更する部分を一緒に添付する。 日本語の文章がパスワードにできたらいいのに。メリケンハッカーにはわからんだろ >>4
機密管理の責任転移
仮に受信者がパスワードと文書を同じ場所に保管したり、解凍済みファイルを保管したりしてそのファイルが漏洩した場合
受信者に漏洩責任を問える >>4
日本にインターネットなんて関わらせるからこうなる
中国よ早く解放してくれ どこぞの誰が作ったスクラッチの独自暗号が復元余裕というなら
考古学関係でいろんな事がわかっちゃってwktkだけど
実際は 椎名林檎聴きながらふと閃いた
音声ファイルをパスコードに使えばいいんじゃね??? で、どんな添付ファイルが暗号化されるのかと見たら、
「新人歓迎会の店と行き方」
「社員旅行行き先アンケート」
「社長の話が新聞記事に載りましたご案内します」
「Aさんご結婚おめでとう」
バカじゃね? >>432
もう、その責任転嫁できなくなるって話だろうね
だれでも1日単位で時間かけたらzip解けちゃうんだから >>430
よく知らないんだが、今あるやつは例えば銀行のATMとかと通信してパスワードが送られて来るんじゃないんか? >>440
え、社内なのに暗号化してるの?
まじかよ・・・ >>432
なるほど
そういう意味もあるわね
為になる >>443
え?社内は完全ノーチェックなのか?
それでいいのか? 今ググってみた感じだと、
excelマクロのパスワード突破するのに、バイナリエディタ使う方法って、まだできるらしいね?
ツールも昔からあるし、今でも通用するのかしらん >>443
>>445
バックドアメール送られたら一発で筒抜けになるな 画像添付しただけで暗号化zipにされてて草&イライラ がしょっちゅう この絶対失敗許さない感が生産性下げてるんだよね。
アメリカの会社だと、メール末尾に誤送信した結果をバラしたら訴えんぞって入ってるだけ。
で、社内に報告用窓口があって、誤送信したって報告したら後はその部署が処理してくれる。
しょっちゅうやってたら知らんが個人のミスまでは咎めない。
ZIPのアルゴリズムの中に、解凍失敗回数をカウントする機能入れて
対策すれば良いだろ。 >>412
こないだ会社で使ってるチャットソフトの全従業員宛のグループに
もうダメいぐぅー!
って投稿した女の子がいたぞw
どうも女性社員同士が昼飯をどこにするかグループチャットで話していて誤操作したっぽい。
「お腹空いた。早く行こうよ。」くらいのつもりだった模様。
その週は「いぐぅー」が社内流行語になりましたw やっぱり、何処かの国の乱数モールスが最強なんだな。 パスワードバレても文章自体をカンタングリルで暗号化して更に五十音一文字ずらしてからギャル文字に変換すれば解読に時間かかるぞ >>56
ファクシミリ思い切りディジタルだけど・・・(´・ω・`) >>81
そうじゃなくて、機械的に拾われても本文のどこがパスワードかは肉眼に頼らないと分からないから
ただこれだけなんだけどね >>453
ワロタ
そりゃほんま、全社員、勃起もんやで・・ >>4
それな
しかもマイクロソフトやGoogleのシステムとか
AwsとかAzure使ってるのに、客先に送るファイルはパスワード付きで
別でパスワード送ってくるとか知恵遅れ具合がヤバい >>458
え?
「先ほどお送りしたファイルのパスワードをおしらせします。
12345678
取り扱いには十分注意してください」
って送られてくるぞ AIで、前後100通のメールから暗号化圧縮ファイルを自動解凍する
プラグインとかできそうだよな
誰か作らない? >>10
なんで略すんですか?
暗証としか言っていないのと同じですよ もう文字列のパスワードの時代は終わり
携帯契約時のとか銀行とか未だに4桁の暗証番号とか恐ろしすぎるわ >>459
機械的に、スクリプト的にってとこなんだけども分からんよね
あとこれPKZIPの脆弱性を突くんで
>>441
あくまでこれPKZIP限定の話なんで >>466
解読側も「ご家庭でグラボでできる範囲」の前提だろ?
量子コンピュータをぶん回したら全く同じ話になるよ >>4
馬鹿な文化だよね
客先指示で添付ファイルは暗号化zipで送ることになってるから
やっているけど もうメールでのファイル送信は止めて
電話回線使った音響カプラに戻ろう
担当者同士が電話で会話(回線確立)した後に
おもむろに受話器にカプラ取り付ける感じで >>471
その結果サーバでのウィルスチェックができなくなって
バックドア感染し放題なのになw >>474
これw
そういう会社はターゲットされたらイチコロ >>1のPCだと80万円超えしそうだけど、クラウドサービスでGPUパワー買えば数万円も掛からずに複合化出来そうだね。
確実に価値があるファイルだと判ってりゃ試すのに躊躇する金額じゃ無いな。 >>464
パスワードのスレだからじゃないでしょうか。あ、句読点付けてくださいね。 これ、バカで昭和頭のセキュリティ管理者の踏み絵みたいなもんだな >>4
じゃあこれでいい?
〇〇株式会社 A子様
zipファイルを送付させていただきます。
パスワードは、貴女の生年月日8桁+貴女がお住まいの郵便番号7桁+貴女のアパートの部屋番号3桁 でございます。
このたびは弊社をお選びいただき誠にありがとうございます。どうぞよろしくお願いいたします。 >>142
アホかw
今はほとんどのサイトやアプリがhttpsだ
ホームページやアプリ経由のほうがセキュリティがたかい >>473
テレグラムとかのアプリやスラッグでやればいいだけ
日本企業はIT企業でもつかってなかったりで23周くらいおくれてる >>4
なんか大昔にOutlookが添付ファイルウイルスで盛大にやらかした頃に
exeやzip、docの添付ファイルをメールサーバーがスキャンして勝手に削除するようになったんで
添付ファイルが送れなくなるのを回避するために暗号化するってテクニックが発生したんじゃなかったっけ?
添付ファイルのチェックがファイルのヘッダをチェックする方法なんで
暗号化するとそれが書き換わってチェックされないで通過できるのと
メールソフトが受信後勝手に解凍して実行とかいうのも防げていいとかで
もともとzipにするのってファイルサイズを小さくするのが目的で
暗号化なんて二の次だったし
でも今やると逆にセキュリティ上のリスクなんだよな >>432
平文での送信なら2つとも傍受されてる可能性あるんちゃうか?
だれでも受信できる可能性があるのに
受信者の漏洩責任は問えないだろ ZIPはパスワードコンテナの展開時にパスが正解だと、そのパスで正解だったと判ってしまうのだったか
LHAにDESか何かで暗号化しておくと、違うパスで展開を試行してもそのパスで展開してみただけなので展開物が正しいかどうか判らんので
出て来たものが既知のフォーマットだとこれで正解だとわかるけど、訳わからんビット列が並んでるだけだと正しいかどうかもわからんという
なので違うパスで二重に暗号化しておくと、パスワード総当たりなどで頭の128バイトくらい展開を試行して既知のヘッダとかが出て来たらそのパスが正解とみなして全体を展開するという手段が取れない
まあDES自体は今更お勧めしないけどな >>450
失敗した回数をカウントしてZIPのアーカイブに書き込むって事かい?
それオリジナルを別に保管しておいてコピーで試行するだけで回避できるな
小学生でも鼻くそほじりながら回避できるぞよかったな
ZIPのアーカイバ(プログラム)の方で一定回数失敗したらデータ破棄みたいな事にしておくなら
そのロジックを外したアーカイバで解凍するだけの事だしな
幼稚園児でも鼻くそほじりながら回避できるよ >>491
まあ日本でやりとりするのはそれだけでセキュリティ対策になってるとはおもう
日本人のITの知識が低すぎるのと
アメリカやシナ人で日本語とコンピュータサイエンス両方できるやつもかなりすくなくなるだろうしw >>156
そんでメールの末尾に住所からfaxまで入った署名入り >>286
「会社側の判断」が常に正しいわけではないぞ? >>496
日本企業はほとんど間違えてきたから失われた30年だわな それだけ日本は複雑レベルの低さに甘んじてきたってことだよ まあzipでアーカイブしてパスワードは別便で送信なんてのはそれこそ90年代の習慣で
まともな所なら公開鍵暗号使って送受してるだろ
インターネットの経路は信頼できないものなんだぜ PDFのパス、一瞬で解除できるじゃん?
もはやセキュリティとかこの世にあるのかというレベル 携帯端末に紐付けて
3回間違えるとロック
携帯端末にメール
携帯端末からロック解除
これは駄目なの? >>503
暗号の方式も尽きない
それこそ究極は量子暗号だろうしw 展示会を見学して名刺交換をした相手の企業からパスワードをかけていないとんでもないメールが誤送信された事がある。
その企業と展示会で名刺交換した企業一覧と展示内容を見た見学者側の感想と売り込みが出来る可能性まで記載されていたよ。
だから間違えているとメールを送ったけどお礼も何も連絡がなくて、1カ月後にまた同じく誤送信されてきた。 そもそも暗号化した時点でウィルスチェックできないじゃん >>507
それいうと昭和脳のおじさんたちが真っ赤っ赤になって反論してくるぞ >>507
ウィルスなんかどうでもいいのです
全社一丸となってルールを守ってることが重要 単語辞書でのパス検索対処にスペルミスしたパスワードが良いとか昔言われたなぁ >>33
権力者が本当に重要な話をするときには(´・ω・`)
ネット回線を使わずに(´・ω・`)
北極の潜水艦の中とか(´・ω・`)
南極の潜水艦の中で話をすると聞いたことがあります(´・ω・`) ファイル名を「極秘ファイル(パスワード100桁後で送信します).zip」とすれば、誰も解読しようとしないだろう >>507
ウイルスチェックできないから暗号化してはならない、という結論に導けないなら
サンドボックスで開けるしかないんじゃね? RTX2080TI×4を15時間連続運転とか燃えそう >>507
未対策の脆弱性を突いてバックドア仕込むファイルを暗号化して送り込めば
間違いなく暗号解いたファイルにフリーアクセスだよな パスワードの硬さを調べるみたいなサイト
自分のパスワードをいれると、硬さを判定してくれるやつ
あそこに入力されたパスワードの情報ってあぶないんじゃないかと思う RARだと解凍してからパスワード入力だから解析出来ないんだよなあ >>32
一昔前はその組み合わせで、15文字のパスワード
とかスパコンがないと解析無理と言われたよね マジレスすると
A.暗号化によってサーバーサイドでウィルスチェックできず、端末側でも
ルール更新が行われていないので、バックドアが仕込まれてしまうリスク
B.重要度を問わず全ての添付ファイルに暗号をかけることで防げるリスク
A >>>>> B ハッシュを計算するということは
文字列を生成してその文字列を暗号化した暗号列を認証部に読ませるってことでOK? VeraCryptは安全なのか?
20文字以上でパスワード設定してるけど心配になってきた GPUってグラフィック用のCPUだろ
なんでそれが暗号解析に向いてるんだ ファイルのパスワードなんぞ、
無制限で試行できるのだから、仮想通貨のマイニング
を業としてるようなシステム構成なら一瞬で被るでしょう。
ファイルの保護よりも、エンドポイントを
乗っ取られないようにすることに注意したほうがいい。 >>527
以前のGPUはグラフィックの処理オンリーだけの
構造だったけど、ここ最近のGPUはその他の処理も
できる構造になってきて、それを応用して
あれこれやらせうようになった。 >>516
1060搭載PCで3日運転なら、大丈夫では? >>4
パスワードはFAXで送信すれば最強なんだよな。 >>519
まあ、日本sageしたいシナチョンなんだろうけど 2バイト文字も使えるようにしちゃダメなのか
使えれば凄まじい量になるんだけども ワードというもの自体から新しい何かに変えてしまえばいい
そのうち誰か天才的な奴が考え出す >>537
結局コンピュータ内では01になるんだからなんの意味も無いよ >>1
たった15文字で15時間かかるのか
俺が思ってる以上にパソコンというのは速くないようだな
将棋ソフトがいつまでたってもはっきり答えを出さないわけだ >>483
だめ
そこは
パスワードをお互い忘れないため貴女のスマホの番号、または、アドレス、LINEを教えて下さい。
これなら断る理由がないw
今度結婚する彼女に送りました。 うへぇ、今ってZIPのパス解析にGPU使うのかよウケる 15時間も待てない。
25文字以上の暗号解析を10分以内にやれ。
いい加減にカチャカチャ入れたパスワードが解けない。
因みに、元データはきちんと取ってある。
解析出来るか、手で打って試してんの。
100万年やっても開ける自信がない。
俺、これが開けたら、結婚するんだ。 解っているだけでこれなのだから、
本来的には、もう数秒〜数十秒で破られるだろうな 16文字だと1000年になるんだろ
シンプルに考えろよ >>547
15文字のパスワードで暗号化された文章ということ >>548
>>544が何を言ってるのかわらないと言ってるんだがwww >>549
15文字のパスワードで復号すれば正しい文章が出てくる
まで言わないと伝わらないのか メール添付ファイルをzipで暗号化して、
パスワードをメールで送るけど、
誤送信予防に対しては何の意味もない。 >>550
これの意味がわからんwwwwって言ってるんだがwww
お前、マジで読解力もくそもねーなwww
>解っているだけでこれなのだから、
>本来的には、もう数秒〜数十秒で破られるだろうな ファイルとパスワードを分けて送信するより
送信する前に2回確認すれば同じやろ
むしろ確認せずパスワードも間違った相手に教えてる場合が多い クロック周波数やRAMが劇的に増えない限り大丈夫だと思うけど念のために23桁に増やしておくわ。これでも>>1のコンピューターで400億年以上掛かる。reimumarisa1135aliceayaで23桁だ。大文字とか入れると利便性がいまいちなんだよね。 >>543
すぐに結婚して頑張ったほうが良いと思うわ すげーCPUフル活用するんだよな
pikaZIP の時もそうだったけど ATM 3回失敗で遮断システムが最高だな
何ケタにしようが 最早意味すらないわ パスフレーズの入力に30分かかるよ
でも、安全コストさ 15時間ですか。
これって全角とか2バイト文字とかも適応されての話ですか?
もうZIP信用できんな・・。
dgcaでも使うか・・・ 斧で拾ったzipのpassがようやくこれでわかるようになるのか >>4
ISMSのガイドラインで決まってんじゃなかったか?
ピーマークもそうだが天下り機関の認定ありがたがる日本だからな。 >>563
半角英数8bitを15桁で120bitまでと思う。 >>509
彡"⌒ヾ
. ( ^ω^)お前ハゲなのかよ >>554
俺はすぐ理解できたよ
柔軟な脳みそだから 昔フリーのPWクラッキングソフトあったな
試しに自分で適当にPW設定してクラッキングできるか試したら速攻で破られたw
もちろん以降zipは使わなくなったww >>501
ヽ ̄ ̄ノ
( ^ω^)トリップは20桁、30桁に切り替わる時代が来るのか? ヽ ̄ ̄ノ
( ^ω^)bitlockerもちょろいのかな? 大文字小文字と数字の組み合わせで本当にこんな早く解析なんてできるのか? ZIPとRARて何がちがうの?
どっちのがエライの? >>320
zipのパスワード解析は、パスワードそのものを見つけるんじゃなく暗号の鍵を直接見つける方法だと思う。
パスワードをハッシュして鍵を作りそれで暗号化するから、パスワードか鍵のどちらかが解れば解ける。
だからパスワードが長かろうが短かろうが日本語だろうが鍵長は変わらないから難易度は変わらない。 日本民法の父、穂積陳重の『法窓夜話』を現代語に完全改訳。
法律エッセイとして異例のベストセールスを続けた名著を
手軽に読みやすく。短編×100話なので気軽に読めます。
法窓夜話私家版 http://pesc.pw/HFPRH
(続)法窓夜話私家版 http://pesc.pw/H7DJW
kaw >>1
>>1-9
金融庁 「仮想通貨はマネロンの温床」
金融庁は仮想通貨のマネロン対策について
「匿名性の高い通貨の取り扱いを止めるだけでは不十分、
仮想通貨はマネロンの温床」とコメントしている。
今年の秋にFATFの審査が銀行と仮想通貨通貨取引所に対して行われる
メガバンクと地銀は、
今年秋のAML/CFT(アンチマネロンとテロ資金供与防止)の
審査にむけて2018年頃から海外送金規制を開始
しけし、ほとんどの日本の仮想通貨取引所は送金規制を実施していない
北朝鮮やイラク以外にも
FATFが指定する15の国と地域に送金されていないかも審査される。
現在は仮想通貨はアドレスさえあれば、
どこにでも送金できる、
金融庁のコメントのまま、仮想通貨はマネロンの温床である
銀行とのマネロン対策の乖離は
仮想通貨を利用したマネロンを助長するのではないか? ZIPって技術のある人なら
鍵を無理やり開けられると思ったけど
違ったの?
本当に鍵をかけるなら
米国PGPでこれも米国NSAは簡単に解凍できる。
安全なのは旧版骨董品のPGP。
旧版骨董品のPGPは総当りに弱い。
安全なのは個人で作った暗号ソフト。 UPされたエロ動画のパスワードのヒントが難しすぎるせいでクイズ大会になって大荒れになってるスレあるよなw 何でこういうスレは知識ないやつほど大声でドヤるんだろうか? >>517
メールサーバと各クライアントPCのウイルス対策ソフトの検出力に差があるなら意味あるけど
同じなら、どの時点で引っかかるかの差でしかない >>591
同じなわけないじゃん
サーバーの方は真っ先に最新パターン入れる
クライアントは各自が定期的にアップデートするまで更新されない
(その間、未知のマルウェアはスルー)
ちょっと考えればわかること
ファイル暗号化は両刃の剣で、メリットばかりではないよ 指紋認証や静脈認証ですら解析可能だし
一切のPCのデータが誰でも傍受できるというのに
何を今更 パスワードを30字以上にしてFAXで伝えればいいな!
さすが日本は正しかったんや >>593
うちは同じスキャンエンジン使ってるな
クライアントは毎日自動更新するから、その意味でも差はないね >>593
逆もあって、例えば週末にサーバに届いた時点ではパターンファイルに追加されてなかったマルウェアが、週明けにクライアントで受信するまでには対応されるケースもある >>593
うちは最近、残業時間監視とか言って、時間外や休日は
ノートPCの電源も入れられないことになった
つまりウィルスパターンの更新やWindows Updateすらできない
Windows Updateなんか途中でやめられないのでどうすんだとか・・・
システム管理者の考えることはこんなもんだよ
馬鹿馬鹿しい >>601
サーバーは24時間稼働
クライアントはユーザーが電源入れないと更新されない
わかるな?出来損ないの管理者くん コンピュータの性能が上がりすぎて解析にかかる時間が大幅に短くなったから >>602
うちはそれでみんな、シャットダウンするときに
PCの時刻を変えて対応しているよw 週末は日付も変える
暗号化ルールと同じで昭和脳の考えることは馬鹿馬鹿しいよね >>4
役所から送られてくるzipファイルは、パスワードが別メールで送られてくるな。
ただし、zipファイルの拡張子が変えてあるので、ダウンロード後、手動でzipに変えて、パスワード入れんと解凍できんが。 zip解凍しても寂聴や谷の画像が詰まってるら嫌だw パスワードは弊社の番号下四桁です
署名
03-xxxx-1234 >>609
あのメガネの男(通称9152バイトの男)は結局誰だったんだろうなw ちょと前まで13文字なら安心っていってたくせにいいいいいいいいいいいいいい!!!
嘘つきいいいい 【スティーブ・ジョブズ氏を殺害】
Android半導体勢力
*フジテレビ本社サイド誘導によって
スティーブ・ジョブズ氏(元Apple CEO)が
集団リンチ後、虐殺された上
【神戸の海に死体が投げ捨てられました】
Android半導体🤖勢力とは
・NTT
・Google
・Apple
・Windows
・SONY
・任天堂
・他
cy >>608
exeをex_に変えて送るとか、相手が禁止してるセキュリティポリシーをわざわざすり抜けさせる自分本位なやり方だよな
なんであんなリスクを相手に押し付けるやり方が蔓延るのか理解できん >>601
それクライアントで更新かけないと意味ないよね
それまでの間は旧パターンでチェックしかできないんじゃ?
>>606
逆にその方が問題じゃないの?24時間侵入し放題だな >>620
管理者が無能だと、全てのケースへの不適切な解を
押し付けられることになるってこと
プレミアムフライデーとか添付ファイル暗号化も害あって益なし >>566
今時ISMSかPマークの認証を取らない企業は
上場企業から関係切られるから仕方がないんだよ 懐かしいなあ、ZIPのパスなんてパソコン初期のエロ画像収集でよく使ってたな >>601
10年くらい前だとアプロダからパスなしか簡単なパスで開くファイルをとりあえず落としておいて開けるときは1か月寝かせてからって人いたな。
あの頃はエロ画像・動画落としが楽しかった 何回でも入力できるから高速総当たりでいいけど
もし3回しか入力できなったらアウトだな。 >>625
何でだろうね、PC関係でも特に殺伐感漂うw
だから何?ってレベルの話でw >>613
それはまともな暗号システムを使った場合の話ね
ZIP暗号は脆弱性があるから暗号長くしてもたいして安全にならない 稀に解析できたこともあったが、どんなファイルだったか・・・
MP3とかだったような セキュリティって個人が自分の範囲を守るときは切実だけど
組織全体のセキュリティになると、無能が不当な権限もって、バカバカしいことを
押し付けてくるっていう側の不満が大きいからじゃない?
実際ほとんど意味のないことを形式主義で言ってるだけだし スパコンで解析すれば15秒ぐらいか? よく分からないけど >>33
アメリカは、自分たちが解読できる暗号を世界に使わせようとする。
たぶん、ロシアもそうだろう。 4桁の暗証番号入力を必要とするzipがあるとする。
4桁は暗証番号は、4*3*2*1の24パターン。
個別にzipに暗証入力したのでは時間がかかる。
そこで効率よく暗証入力するには、zipを24個複製し、24パターンの解を個々のzipに同時入力することで
暗号解読の時短が図られる。
これ考えた、俺は、天才的かも。 システム開発要件に「パスワード問い合わせに回答できること」があったりするからから
ハッシュじゃなくて生パスワードを保存せざるを得ない >>633
コールセンターの低脳サポートに当たっちゃった時の感覚に似ている
電話なら当たりを引くまでかけ直すけど、会社の管理者は交換できない 普通の民間企業で「当社のキーを新技術のこういうのにしました」と報告されても「よきにはからえ」としか言えんしなぁ 添付とパスワード別に送るのはガイドラインにあるやりかた
セキュリティ対策してないと企業は取引で外されるから
「ウチはちゃんとやってます」ってしないといけないわけよ
効果だの穴防げてるかとはまったく別 >>642
「ガイドラインんだから」で思考が停止しちゃうのがバカバカしいということ ああ、エロzipのパスがわからないときは
解析かければいいだけなんじゃん! >>643
この会社はガイドラインを守っていませんでした >>645
ガイドライン以上のことをしています
これが米国の会社の言い方なんだな >>4
これ、それなりに意味がある。
会社に、慌ててて全グループ社員に機密情報(宛先に誤って入った)送ったバカがいるが、パスワード送る時に気づいて、パスワードは必要な者に送ったので、実害はなかった。
パスワードは家の鍵と同じで、時間やパワーを使えばいくらでも破れるが、時間や労力との天秤で、面倒だし見つかるとヤバイからやらないって思わせれば勝ち。
あと、二回確認するルールにすりゃ良いじゃんって言うけど、二回に分けてメール送ると後から第三者に確認できるようにするのとしないのとでは強制力が違う。コピペする奴もいるかも知れんが、それでもその時に気付くこともある。 簡単の為 2080Ti が内部 2.27GHz で動作しているとする。
この時 22.7 ZettaHash/s と云うことは 10 GigaHash/clock ... ホンマかいな
よしんば計算能力が有ったとしても 10G個のHash値を保持するメモリー積んでないでしょ >>647
社内(グループ内)宛は暗号かけなくてもいいって設定じゃなかったっけ? 2バイト文字=日本語をパスに使えるようにしたらいい
まあ、今でもctrl+vで入力はできるけど、それ以外の入力方法がないw >>4に意味があるとか言ってる奴ってちゃんとした資格持ちなのか?RISSとかCISSPホルダーが言うのなら納得するが。 >>258
別経路とかえらそうに言ってるけど、毎回別経路で送るなんて手間で無駄だろ。公開鍵暗号を使えば一発だろ。 システムで自動的に添付ファイルにパスワードつけて、そのパスワードも自動的に送信するのって本当に何の意味があるのか謎すぎる。
そんなのやってる暇あるならせめてSTARTTLSしろよと。 >>1
んじゃ、お前ら
このzipのパスワード解いてみろよ
https://ux.getuploader.com/zipcodezipcode/download/197 👀
Rock54: Caution(BBR-MD5:669e095291445c5e5f700f06dfd84fd2) 企業間メールだってほとんどのメールは外に出てもどうってこと無い情報のやり取りだし
ホントに機密扱いの情報は限られた人同士でもっと厳重に扱ってるし
対策は、扱う人、方法、労力・コストのバランスだわな メールを2通に分けて送れば誤送信防止になるのなら、別に暗号化なんてしなくていいのでは?
1通目: 〇〇様、メールを送ります。
2通目: 〇〇様、本題ですが >>353
ちなみにメーカーだと○○○○は使えたりする >>658
企業間なら今は中継もなしにホップ0がほとんどだからな
送信時も暗号プロトコルかけてんだろうし、平文でパケットが通る可能性がある部分ってどこかな?
意図的にサーバーに侵入して送受信メール見るくらいじゃないと、バカ管理者が危惧しているような盗聴ってできないのが現実
で、それができるようなら解凍キーもすぐそばに落ちてんだから意味がないって話
「フリーメール(死語w)」禁止ですってところも多いけど、
バカな鯖管が手探りで管理してるところより、大手のサーバーメールの方がよっぽどセキュリティはしっかりしてるし
ウィルスチェックルールの更新も早い
ただ暗号がされてるとウィルスチェックできないけどw
サーバーだけでなく、強制的に入れてるsymantecだのmacafeeなどの
メール添付文書チェック機能も、暗号化で意味なくなってるよね ID:bJaqChgE0
キチガイが一匹混じる現象はどうにかならんのかね >>637
4桁のパスワードの計算し・・・あぶねー釣りかε=( ̄。 ̄;)フゥ マロAAが貼れなくなった5ch程寂しいものはないな >>655
別経路w
twitter, LINE, skype.... 業務での使用は禁止しています
FAX... 相手かこっちかで送受信済みの髪が放置されています
電話... 会議中です。戻りは夕方になると思いますが、電話があった旨をお伝えしておきます パスワードをメールで送ってくる、
日立市の某企業グループ どういう計算?
アルファベット26文字限定のパスワードか?
今時そんなパスワードあるかよw >>662
メール送信で暗号化強制してるところなんてあるかな? >>659
暗号化ファイルにするのは通信中の覗き見防止、
パスワードを後で送るのは
うっかり誤送信した時にパスワードメールの送信を
キャンセルすることができるから。
(メールの誤送信に気がつくのは送った直後がほとんど、という統計より)
受け取った側としても、自分に関係ないよその重要情報なんか見たくない。
何か問題起きた時、自分から漏えいしたという責任被せられたらたまったもんじゃない。
だからメール本文には重要情報は書かないのが万が一の時のお互いのためとなる。 >>669
文字列(何文字でも可)をハッシュ関数で不可逆に計算した数列が暗号鍵になる。
この鍵を予め大量に計算してリストに総当たりを開始する。 >>35
サロゲートペアのみなら逆に解読しやすいかもね。
通常+サロゲートペア混在ならば、解読は難しそうだが。 >>638
緩い情報ならそれでいいけど
住所とか電話番号はいってたらありえんなw >>408
あたま大丈夫か?
メール二回に分けて送るよりは安心だ >>672
その統計見たいけどどっかある?
セキュリティインシデントって社外からの指摘が圧倒的なはずだと思ってたから。 たった15文字を解析するのに15時間も使うことが驚愕の事実ですわ
こんぴゅーたーなら一瞬で解けるんじゃないのか >>662
中小企業のメールサーバの暗号化率はたかくないきがするなー >>4
社外へのメールにはまぁまぁ有効。
社内向けならパスワード設定よりもメールかファイルのどちらか、またはそのどちらにもアクセス制限かけて対処すべき。IRMだかRMSだっけ。 >>680
そう略すとPassかPathかわからん >>647
でも、それ社内的にはヒヤリハットにはならず情報漏洩に準じた扱いになる案件だよな。
つまり会社の上層部に報告までされるし、誤送信してしまった担当者や直属の上司は始末書作成→処分対象となってしまい、
今後メールに変わる新しいコミュニケーションツールが出て来るまで社内のセキュリティ教育で語り継がれる事になるw >>671
SMTP over SSL。相手にもよるけど >>647
>それでもその時に気付くこともある。
そりゃそうだが、確率的に労力に見合うかという話でしょ
費用対効果を考えなければ、セキュアにする方法なんて世の中に腐るほどある 最近はURLとパスワードつきメールを送って「ここからDLしてね」てところも増えた。
あれは一定時間でアクセス不可に出来るし、アクセスするドメインを限定すれば(面倒だけど)それなりに情報漏洩を防げるだろう。
でも間違って同じドメインの別の人に送っちゃったら、結局防げない。 >>139
エクセル方眼を否定する奴は設計書とか作ったこと無いだろ 昔は斧あぷろだにエロマンガうpしてパスワードは基本とかやってたなぁ
ニュース速報はnewsだっけか
今じゃグーグルで探したほうが早い メールは自動で暗号化して送信するとドヤるくせにローカルメールを使う老害企業と老人
まさかパソコンもクライアント側のOSで直接作業してるんですか? パスが判らなくてお蔵入りしていた大昔にダウンロードしたエロzipがついに陽の目を見るのか 誤送信したときのために、というとパスワードも同じところに誤送信してるんじゃ
意味ないとか聞くけど、おれ、誤送信あるいは心当たりのないメールの
添付ファイルを開いたりしないけどなあ。暗号化の有無に関わらず。 >>34
レインボーアタックの原理はそんな感じだよ。 RARで後に半端が出るように分割して本体はオンラインストレージに上げて半端のファイルだけメールで送る。
メールの送り先の人しか解凍できないので比較的安全 昔角煮で拾ったzipのパスがわからんのでお願いします >>4
メールは誤送信することもあるからな
別メールで送ると漏洩のリスクが減る b-cas騒動で何重にも入れ子になった暗号化zipがあって、最後の一つが解読されないままだと思うけど何か進展あった? >>704
その誤送信した暗号化ZIPファイルが、パスワードメールを送らなくても、15文字のパスワードでもGPU4つで15時間以下で解読できる時代になったよっていう話な。 単体での暗号化が無意味な時代になりつつあるのか
20桁ぐらいにしてもいつか解読されるだろうな >>1
そもそも、zip付メールを取り交わすというのなら、
そういう行為をする前に信用調査等をクリアした上での取引先承認を得ているのだから、
暗号化zipでのメールによるやりとりではなく、
2段階パスワード機能搭載の文書共有サービスの利用をすればいいだけなんじゃねーの? >>708
ということになるわなw
頭がおかしいだけだわな 【スティーブ・ジョブズ氏を殺害】
Android半導体勢力
*フジテレビ本社サイド誘導によって
スティーブ・ジョブズ氏(元Apple CEO)が
集団リンチ後、虐殺された上
【神戸の海に死体が投げ捨てられました】
Android半導体🤖勢力とは
・NTT
・Google
・Apple
・Windows
・SONY
・任天堂
・Amazon
・他
df >>4
そのうち、サーバーが添付ファイルにパスワードを自動的につけて、過去の送信履歴も確認してから送信するようになるのかもしれない >>1
そもそも、公開鍵基盤を使えばパスワードが不要になるのだろうか PKZIPだけの話?
英数字混在の15桁のパスワードが総当たりで15時間で溶けるなんて
信じられないんですが クラウドを使いファイルのダウンロードを禁止すれば、一定期間後に見れなくすることで情報の漏洩を防げるのだろうか クラウドのファイルのアクセスログを確認できれば、資料を見てもらえていることを確認できるのだろうか >>708
クラウド文書共有サービスの利用は禁止です 本人確認を適切に行えるのであれば、パスワードを送るのではなく、ファイルの所有者にアクセス許可を直接もらうことで、閲覧者を制限できるのだろうか >>717
自社サーバーを使い、クラウドのようなシステムで公開すれば良いのかもしれない そのうちメールにファイルを添付して送信すれば、自動的にクラウドにアップロードされて相手に閲覧許可が与えられるようになるのだろうか 社内で決められている手順は、全て自動化できるのだろうか 何かを禁止することは、手段・目的のどちらなのだろうか え?従業員20人くらいの会社でも
自社でメールサーバーたてるもんなの?
うち、ホスティングやら貸しサーバーやらのパックでお金払ってるだけだけど。 >>726
頭イかれてるから禁止でメール2回なんだろw >>724
よっぽど独自のセキュリティ入れたいとかでなければ外部サーバーでいいよ
どうせどこもSSLとかの暗号化せずにメール送ってるだろうし そもそも
漏洩したらまずい情報なんか日本企業にほとんどないわw 勤労統計調査なんかどっかやっちゃったことにすりゃいいしな 有識者の皆さんに聞きたいんだけど、RARや7-Zipなら15文字でも安心なのかな?
100年ぐらいもてば個人的には文句なく安心なんだけど アタッシュケースとかで暗号化しても
パスワード解析の難易度はパス付きzipと同じなの? >>724
社外のメールサーバーを使っているのであれば、社外のクラウドサービスを使っても良いのかもしれない >>726
メールを手動で送るシステムと、クラウドサーバーを使ったシステムのセキュリティについて議論した方が良いのかもしれない >>729
どんな情報でも多く集めると、何かに活用できるのかもしれない クラウドサーバーでファイル単位でセキュリティを設定するよりも、
サーバーにアクセスするユーザー単位で仮想サーバーを立てIPアドレスを個別に割り振れば、
メールサーバーを使って手動で送るシステムよりもセキュリティが高くなるのだろうか 海外の企業に情報が洩れているのであれば、重要性の低い情報でもセキュリティを守ることで、重要性の高い情報の漏洩も防げるようになるのだろうか >>736
それだとサーバーのリソースの問題がつきまとわない? >>738
確かに
サーバーのリソースを使うことと、手作業で人的リソースを使うことについて議論した方が良いのかもしれない 情報が漏洩した場合に、被害を最小限にするにはどうすれば良いのだろうか 最小限の機能を持ったフロントエンドの仮想サーバーは、どの程度のメモリを必要とするのだろうか メールサーバーのセキュリティはどの程度なのだろうか 10秒に1回とか3回間違えた以降は1分に1回しか
パス入力を受け付けないようにすれば
人間の寿命以上に時間がかかって意味なくなるだろ
1分に1回だと60×24=144回しかアタックできない
年間でも5万チョイだ
100年間でも500万程でそこまでしてまで開けたいか?
サイト無くなってるわw
こうなると10桁の英数字パスでも十分さ >>743
なるほど
ファイルをロックする暗号化方式が必要なのかもしれないね 自分のパソコンにあるファイルを開く度に、サーバーが本人確認をしてパスワードを解除する方式はもうあるのだろうか ブラック校則のように、ブラックな社内のルールもあるのだろうか パスワード方式ってそもそも1秒間に何で数万回ものアタックを平気で受け入れてるんだろ
手入力なら数秒は掛かるってのに無限超高速入力が不自然なのは一目瞭然
そんな不自然な入力がなされてる時点でそのアタックが終わるまで完全ロック
たとえパスが正解でも開かないようにプログラムしとけば侵入不可能だろ
そのIPもブラックリスト登録して2度と入力を受け付けないとか
只今攻撃されていますと本人へ自動で通知メールするとか履歴を残すとか
いろいろあるだろうに いまどきのメーラーは大体OpenPGPやS/MIMEに対応してるのに全く流行らんな
毎回ファイルをzipで圧縮してパス考えて付与してパスを連絡してってよりは楽だと思うんだが LZHも終了したが、ついにZIPもか
いよいよGoogleドキュメントのリンク挿入が天下を取る >>750
スラッグとかラインが主流だろ
メールやりとりはかなり日本でも減ってるのが現状 >>4
上がFAXおじさんだとそういう方法になっちゃうんだよ >>748
公的機関の秘密なんて持ってない企業が大半だろ 15文字のパスワードでもGPU4つで15時間以下
16文字になったら5000時間ぐらいに一気に上がるんだよね
バカは騙されやすい >>748
確かに
一つのサーバーに保存するデータが少なければ少ないほど、セキュリティが破られたときに漏れる情報が少なくて済むのかもしれない >>647
そもそも、アクセスが限定された場所にファイルを作成して作業をすれば、数日間作業をしていくうちに保存してある場所が違うことに気付くのかもしれない Excel方眼紙は、その後どうなっているのだろうか パスワードを同じ経路で別送ってのもアホの極みだが、暗記不能なランダムパスワードの強制もやめてほしい。 >>744
ファイルが手元にある以上ロックなんてできないから、暗号を解く鍵の算出にものすごい大量の計算を必要とする方法にしたりする。
FreeBSDなんかで使われてるブロックデバイスの暗号化 geli なんかも鍵算出に大量の反復計算をさせるようになってたり、veracrypt なんかもやはり鍵を求めるのに時間がかかるようになってる。
鍵自体は直接破られないように長大なものにしておき、パスワードから鍵を求めるのに今時のコンピュータでも例えば1秒かかるアルゴリズムなら、ブルートフォースも時間的にままならない。 庶民には関係なさそうだけどな。
ファイル交換ソフトでパス付きzipを流してるやつおったな。
死ねばいいのにと思ったが。 >>762
OSがファイルのコピーを不可にして、パスワードの解除には専用のアプリを使用。
パスワードの試行回数をファイル内に暗号化して保存、ロックが解除される時間もファイル内に暗号化して保存。
長大なパスワードはロックが解除される時間まで違うパスワードとして扱う。
これでロックできないかな?
そもそも、クラウドを使えって話になりそうだけどね そのうち、時限式で自動的に削除されるファイルを実現するシステムも出てくるのだろうか >>764
そんなOSや専用アプリを使わず解いちゃえばいいじゃん >>719
そういうサービスあるんだけど、金がかかるし、運用が面倒くさいとかで、売れない。
あと、結局自社のDMZに構築しなくちゃいけないので、それはそれでセキュリティリスクになるとさ。 うちの会社は添付するメールの本文にパスワード書いているわw *昨年末、自ら完全破壊を遂げた
【Google タイムマシン】
フジテレビ本社(日本企業群)を倒す為に巻き込み自殺を図った
*タイムマシンは、決して再建出来ない
過去と未来が無くなった世界
https://youtu.be/_vKzwf74VoE
Xn Zip送ってその後メールでパスワード送るのは
悪い文明だと分かりつつ相手もやってるから
それに習っちゃう感じ まぁ今のzipパスってtor眺めてると20字ぐらいあるけどな ビル・ゲイツ(MS)/行方不明
ポール・アレン(MS)/自殺強要
スティーブ・ジョブズ(Apple)/虐殺死
---
*日本政府とフジテレビ
(Android半導体チップ陣営)が
【企業・資金・技術・発想】を奪う為に
ビル・ゲイツ氏、スティーブ・ジョブズ氏を
集団リンチに起き続けた
【ジョブズ氏の死体】は【神戸の海】に投げ捨てられた
Yu Android半導体🤖勢力とは
・Google、NTT、IBM、SONY、Windows、Apple、Amazon、世界中の全ての携帯とPCメーカー、他
世界中の【人類の脳データ】を掌握して、人類を操り人形にした(脳マッピングデータ書き換え等🧠)
他、基地外AI人造人間作成
---
*基地外日本勢力への矛先を交わす為に、中国包囲網構想を展開した、安倍首相サイド統一協会とフジテレビ
fj >>713
PKZIP限定の話。
毎度のZIP暗号化で「Traditional PKWARE Encryption」を突破されたというネタ。
暗号強度がそもそも96bitしかない上に、疑似乱数ですらない線形数値だったりする。
既知平文攻撃なら突破されたのは、平成ヒト桁の頃の話。
今でもそんなのを使ってるのがいる、そこが理解できないのがいる、というおっかない話。 >>757
暗号強度はそういうものじゃない。
>>731
暗号化するアーカイバの世代による。
RARは古いので、初期のアーカイバなら宣伝されてる通りごく短時間で突破可能。
7-zipは登場が新しい分、AESビット256に対応してたり堅牢ではある。
本来はパスワード * 疑似乱数でないといけないのに、パスワード * ほぼ固定の文字列(語調も64〜96bit)だったと。
これじゃパスワードがいくら長くても、元ファイルの推測が容易だから意味がない。 個人使用のPCでもグラボを数枚刺せば解析可能になったという事ですか?
警察のコンピュータとかなら分からなくはないけど、一般人でも解析可能じゃもう鍵の意味がないじゃないか… >>780
96ビットしかなかったんかいw
こんなんかけるだけムダだろw
AESだとおもってたw 自分はまだないけど、誤送信や添付ファイルのミスやらは致命傷になりかねないからな。
誤字脱字なんか可愛いほう。後で訂正できるし。
でも機密データを無関係な人間やら、最悪無関係なメーリスやらに送った日には。 >>788
両方のメールサーバが暗号化されてないとほとんど意味無いぞ 人類の脳データを改造した
進撃の巨人化にして集団行動をさせた
日本のAndroid半導体チップ陣営へ
【大っきい隕石降ってきた】
https://youtu.be/V3kOj2BfQgo
Nj zipの暗号化はセキュリティに問題があるってことか >>784
全然違います
と言うより3つ4つ上に正解書かれてる もっと完全に暗号化破られてzip自体廃れてほしい
文字コードも決まってないクソだし PKZIPのトラディショナルエンクリプションで暗号化されている
圧縮なしの単純書庫
これならパスワードが20字でも100字でも突破は簡単だ
元のCRCもファイル一部が平文で書かれてるから
むしろ字数が多いほど連続出現して推測されやすくて危険 こんなのニュースにするのはどうなんだ?
16桁だと2週間、17桁だと一年半、18桁だと45年かかるって話だよ。
もともとzipのパスは20年前にハイエンドのスパコンじゃなく、PCで有意義な時間で解析可能になってる訳で。
今更、ニュースにする話じゃない。 ■ このスレッドは過去ログ倉庫に格納されています