【IT】今すぐパスワード変更を―セキュリティー脅かす「Heartbleed」

By　GEOFFREY A. FOWLER
　あなたはさまざまなパスワードを変更するつもりでいながら放置してはいないだろうか。だとしたら、
きょうこそ実行すべきだ。

　セキュリティーの専門家らは7日、「Heartbleed（ハートブリード、心臓出血）」と呼ばれる恐ろしい問題を発見した。
インターネットサーバーの約3分の2で使用されている暗号化ツールに見つかった欠陥（バグ）で、
ログイン名やパスワードの流出につながる可能性がある。

★パスワード変更前にサイトのセキュリティーの確認を

　具体的にどのサイトが影響を受けたのか、どのパスワードが流出した可能性があるのかは不明。しかし、
脆弱（ぜいじゃく）性があったとされるYahoo!、OkCupid、Githubの人気3サイトにアカウントを持っている人は、
できる限り早くパスワードを変更する必要がある。

　主なウェブ企業は問題の是正措置を講じている。自分の利用しているサイトがセキュリティーを更新しているかどうかを
確認するにはhttps://www.ssllabs.com/ssltestにアクセスし、「Domain name」ボックスにサイトのドメイン名を入力すればいい。

　全てが緑で表示されれば恐らくバグは修正されているので、パスワードを変更しても問題ない。そうでなければ、
待つべきだ。バグが修正されていないサイトでパスワードを変更しても意味がなく、
新しいパスワードが危険にさらされる可能性がある。

　たとえハートブリードの問題がなくても、パスワードは脆弱なものだ。重要なアカウントについては、
90日ごとに変更すべきだろう。

　その他必要な措置を以下に挙げる。
★2要素認証

　パスワードの変更以外にも防衛措置を講じることが重要だ。その1つが、多くのサイトで利用可能になりつつある
「2要素認証（2段階認証）」だ（「2次要素認証」や「ログイン検証」、
あるいはバンク・オブ・アメリカの「SafePass」などブランド名で呼ばれることもある）。
２に続く

　これは多くの電子メールサービスや銀行、ソーシャル・ネットワーキング・サービス（SNS）で使用されている方法で、
アカウントにログインしようとするたびに1度限りのコードが（通常はテキストメッセージで）送られ、
そのコードを入力してアカウントにアクセスするというものだ。

★パスワードは少なくとも5つ使用

　犯しやすい最大のミスの1つが、全てに同じパスワードを使用することだ。そのパスワードが1つのサイトで流出した場合、
他でもそれが使用されてしまう可能性がある。

　各サイト固有のパスワードを設定するのではなく、サイトをグループに分けて覚えるようにするといい。
取りあえず重要な銀行、電子メール、SNS、ショッピング、めったに使用しないサイトの5つのカテゴリーから始めよう。
カテゴリーごとにパスワードを決め、その中でパスワードの末尾に1、2文字加えてサイト固有のパスワードを作る。
例えば、アマゾン・ドット・コムであれば末尾に「AZ」を加える。

　こうしておけば、例えば通販サイトの1つでセキュリティーが侵害され、
そのグループのパスワード全てを即時に変更する必要が生じた場合でも、少し時間がかせげる。

★強力なパスワード

　強力なパスワードとはどのようなものか。まず、長ければ長いほどいい。数字と文字を組み合わせた少なくとも
6〜8文字あるものがいいだろう。ハッカーが公開したリストに自分のパスワードがあった場合、設定し直す必要がある。

　ペットや家族の名前はお薦めしない。犯罪者が個人情報にアクセスしている可能性もあるからだ。
フェイスブックの投稿を見ている可能性さえある。

　残念なことに、サイトやアプリによってパスワードの基準は異なる。また、文字数や使用可能な文字の種類も違う。
例えば、大文字を受け付けない場合もあれば、大文字を含めることが必要な場合もある。
筆者の友人の1人は最近、日常生活で使う129個のアカウント全部のパスワードを変更するという作業に乗り出したが、
思わずキレそうになったという。あるサイトでは「＆」の文字が使用できず、別のサイトでは「＄」の文字が
使用できなかったためだ。
３に続く

　特に重要なのが、電子メールアカウントには固有のパスワードを用いることだ。電子メールにアクセスしたハッカーが、
その電子メールを使用して他のサイトで「パスワードを忘れた場合」の対処方法を通じてパスワードを入手しようとする
可能性があるためだ。

　また、サイトのセキュリティーを確保するために設定する「最初に買った車は？」「最初のペットの名前は？」
などの質問にわざと間違った答えを入力しておくのも手だ。こうしておけば、犯罪者に個人情報を入手されても、
正しい答えを予測されずに済む。

★その他の留意事項

　紙にパスワードを書き留め、それを財布にしまっておくのは危険だ。それでも記憶可能な簡単に破られてしまいかねない
パスワードを使うよりは、強力なパスワードを設定し、それを安全な場所に書き留めておく方がいい。

　しかし、記憶可能な長いパスワードを作成するコツはある。

　最も手軽なのは記憶術の活用だ。例えば、文を基にしたものや記憶可能な単語を無作為に並べたパスワードだ。
あるいは、文の各単語の頭文字を取ってパスワードにすることもできる。
例えば、「I Left My Heart In San Francisco」という文であれば、「ILMHISF」となる。

　また、文や単語は何も本当の内容である必要はない。犯罪者が予測しにくいよう文を勝手に作ったり、
例えばうその飼い犬の名前を使用したりしてもいい。

　最後に、パスワードを管理したり、特に強力なパスワードを提案したりしてくれるパスワード管理サービスやアプリ
（LastPass、PasswordBox、1Passwordなど）を使用するという方法もある。

　ただし、セキュリティーの専門家は、全てのパスワードを一元管理すべきでないと警告している。特に、
そのサービスがパスワードを遠隔保存している場合はそうだ。それでも「1234」や「password」などの単純なパスワードを
使用するよりは安全だ。
Copyright c 2012 Dow Jones & Company, Inc. All Rights Reserved
ウォール・ストリート・ジャーナル日本版が使用することを許諾します
http://jp.wsj.com/article/SB10001424052702303373904579492623865487460.html

もうよい、もうよい

Windows Serverなら安心。

今から慌ててパスワード変えても意味ないわ
日頃から不定期に変えなきゃだめ

あのさぁ、SSLそのものの致命的バグで鯖側からパスが流出した可能性って話なのに
なんでパスワードの強度がどうたらって間抜けな理論展開が文章の大半しめてんだよ

パスワード忘れるリスクの方が日常的にはきつい

最近のショップトはIDがメールアドレスてのが多いから
同じパスにしてたら悪意のあるショップなら簡単に成りすまされそう

いつもニコニコ現金払い
窓口出向いて銀行送金
ハンコと通帳JAバンク

システムの根幹に二年前から裏口が開いてたが
それが悪用されたかどうかは誰にも確認できない

そういう事件だぞ、鯖側の設定ミスでもないし、ユーザーの油断でもない

>>7
サーバが攻撃されてパスワードを管理しているファイルが漏洩しても、
通常はパスワードそのものではなくそのハッシュ値しか手に入らない。

でも簡単なパスワードを使っていると辞書式攻撃で
ハッシュ値からパスワードがばれるという仕組み。

パスワードを忘れて問い合わせる時の気持ち
子供の頃、おまわりさんとすれ違う時になぜか目をそらしてしまう気持ち

悪いことしてないんだが、小心者のオレには同じだわ

まじでビビったけど、なんだ心配ないのね(；´Д｀)
なら、良かった
記事の中のサイトでwsjやってみたら、Grade F評価付けられてワロタ(*´ω｀*)

SSLのバグの次は、ウィルス！？

怖いからもうSSL使ってるサイトは信用しない

セキュリティの専門家がパスワード忘れるリスクとそれの対策のための管理に比べたら
共通化することは何てことはないって解析してたろ

>>14
糞スレ連発+記者レスでキャップ取り上げ確定だな。乙カレ

>>14
SSLで保護するような内容も無いサイトでやって何が楽しいんだ

ネットバンキングはもってるけど空っぽ
友達いないから電話帳は両親だけ
メールはスパムすらうれしい
　
パスワードが漏れるとなにか
怖いのかなあ

俺のパスは、s0,lpwz2j-5/xr38\o

>>20
そのネット口座が乗っ取られて知らないうちにオレオレ詐欺とかに利用されていたら？
有罪にはならなくても何日かは拘留されるかもよ

>>3
ヤバイな。
借りた金を嫁の口座に振り込んでた政治家は？

という質問の答えを「ヨッシーよしみ」にしていたのに、まさか正解になるとはな・・・

つか、米国家安全保障局（NSA）がある限りネットでセキュリティを確保することなどできないよ
国家の安全保証という正義の御旗のうえで何でもやりたい放題
マイクロソフトだろうがアップルだろうがインテルだろうがシマンテックだろうが
従わざる得ない。

韓国政府の出番キター。
割れモノXP今後も使い続けるんだろから対応しろバカ！

.
　１）辞書にないランダムな数字と記号の入った8文字以上で、
　２）90日ごとに変更を
　３）メモしてはいけません。
　４）複数のサイトに同じパスワードはダメ

　誰が使えるんだ？

パスワードを変える必要がないという専門家は一種の宗教である。
専門家の発言はある状況に限定した話であるので「パスワード変更＝意味ない」という話こそ意味がないのである。
セキュリティの専門家がパスワードを定期的に変更する必要はないというけど俺がパスワードを定期的に代える理由。
パスワードを変えようが変えようがサーバからIDとパスワードが流出することは防げない。
ではなぜ定期的にパスワードを変更するべきか

・IDとパスワードがどこでも漏れるかわからない。ネットカフェの店員がキーロガを仕込んでいるケースもある。いつもと違うところでろぐいんしたときにパスワードを変更する。
・身近な人にIDとパスワードが推測・漏れてしまう可能性があるので、定期的に変更するのが良い。
・IDとパスワードが漏れてどこかに公開されたとき、それを見た厨房が興味本位にアクセスし、個人情報をTwitterであげちゃうゆとり対策のためパスワードを変更する。
・パスワードを変更させないことでセキュリティ専門家のメシの種になるから。

.
　日本人のPCをハッキングしたら、案外、「ぱすわーど」で変換できるかな漢字変換の
　ユーザー辞書に、パスワードが登録されているかもな（笑）。

>>26
そりゃあ鉄壁だろうけど、自分でも把握できなくなるよなw
クレカの暗証番号すらよくわからなくなって、サインばかりになってるというのに

NSAは、セキュリティー会社に金を払って欠陥暗号化アルゴリズムを使わせていた（ロイター）
http://jp.techcrunch.com/2013/12/21/20131220nsa-reportedly-paid-a-security-firm-millions-to-ship-deliberately-flawed-encryption-technology/

>>29
　>>26のネットで常識的なパスワードの変更をされておりませんと、
　保険もおりませんし、金融機関も企業も損害を保証いたしかねます。

　ということを言い出すんじゃないの？

>>12
さすがに銀行のシステムはHash+Saltと思いたいが…。
念のため変えておくか

おたくのサイトなりチェックしますって言って
こいつらがパスワード盗んでいく詐欺じゃねえだろうな

.
　明らかにパスワードの運用の程度は灰色で、誕生日や辞書でのattackに
　耐えないようなものを選んじゃダメだが、

　100%安全なパスワードも、時計にリンクしたパスワード生成器をサーバーと
　クライアントが共有しない限り不可能だろ。

　忘れるリスクのほうが高いことだってある。

>>10
こちらはご本人様がいらして頂かないとお取り扱いができません
ご了承下さい。

rakuten.co.jp　しらべたらグレードBで橙色だったんだがなんなの？

紙にパスワードだけズラズラ書いたのを誰かに拾われても
それが何のワードか分からんだろ　無くしたらその時変えればええよ

FAXでの注文しか受けない会社が一番信頼される時代到来

>>33
変更したパスワードを盗まれてる可能性はあるね

無理
もう10以上もってるもん
紙に書いて保管してる

長くしすぎてわすれたった　＞＜

>>31
ユーザーに求めるセキュリティ管理を余り厳しくすると、
結局誰も使わなくなって廃れるだろう。
オンラインバンキングなんか、もう新たな層の開拓は無理なんじゃないかな？
東京三菱のサイトを見てると、そう思えてくるよ。

俺のパスワードは
パイパンマンコとか
スジマンハァハァ…
見破られるかな？

>>42
東京三菱はわざわざ担当者が電話してきたよｗ
まぁネットでセキュリティなんて確保することなどできないのだろう

何かあった時に定期的に変えてないお前が悪いんだってことにしたいんだろ？

>>14
オレのサイトもFだった orz

簡単に安全なパスワード管理法

たくさんのサイトにアカウント登録して忘れてしまうから使い回しする人がほとんどだろう。
一つの方法として紹介するが１００％安全だとは言えないのがITの世界（笑
まず６〜８文字の絶対忘れない文字列を決める例えばXXXXXXCX

その後に（前でも）そのサイトのみ使う文字列１２３４５６８
これは必ず忘れるからメモをパソコンに張り付けておく。

他人が見たらそのパスワードは完全体だと思って注意を受けるかもしれないが
自分しか分からないキーと組み合わせる事で盗む事ができない。
メモをパソコンの中に残さない事によりハッキングから守り
会社や自宅での情報漏えいに歯止めがかかる。

娘の誕生日+サイト名から２文字+独自規則性アルファベット３文字

俺は無敵だった

>>44
店舗やATMといった銀行の用意した設備なら不備は銀行の責任だろうけど、
オンラインバンキングを使う前段階として、
手元のPCやスマホを万全の体制にしておく責任はユーザー側にあるだろうからね。
PCやスマホのシステムを常に最新にしておくだけでも、
それができてない人も意外と多いんだろうし、

(´･ω･`)暗号はMy辞書登録してあるから忘れ無いお(ｷﾘｯ

今すぐって、対応前に変えたらまた流出するんじゃね？

>>36
"This server is not vulnerable to the Heartbleed attack. (Experimental)"
が緑色で出てりゃ多分大丈夫だろ。
それならProtocol Detailsにも、"Heartbleed No (more info)"って出るはず。
ついでにピンポイントで調べるこっちでもやってみれば。

Test your server for Heartbleed (CVE-2014-0160)
http://filippo.io/Heartbleed/

>>1
＞　たとえハートブリードの問題がなくても、パスワードは脆弱なものだ。重要なアカウントについては、
＞90日ごとに変更すべきだろう。

一日前まで旧パスワードだったものを新しいパスワードの変えたからといって
それが旧パスワードに対してなぜ安全性が高いと保証できるんだ？
クラッカーにとって新であろうが旧であろうがこれからクラックする未知のパスワードであるのは同じ

すでに一度クラックされて侵入されているならすべての情報はすでに盗まれているだろうから
パスワードかえても後の祭り

パスワード変更することに何の安全性があるんだ？

>>48
パスワードは6文字まで
とかいうサイトにあたってうがー！ってなるパターンｗ

>>52
さんきゅう
これ使ってるサイトいちいち確認しなきゃならないの面倒だなｗｗ

Google IDでログイン、Yahoo IDでログイン、Facebook IDでログインとか
共同認証にしくみが流行りつつあるけど。これって「パスワードは他のサイトと共通に
しないでください」って言うのと矛盾だよね

全部keepassに任せてる

>>27
理想はそうだけど
現実頻繁に変えてたら忘れる

>>56
Google IDなんて当のGoogle自体が超横流し業者だからセキュリティ以前の問題w

>アマゾン・ドット・コムであれば末尾に「AZ」を加える

そのアイデアいただいた。

>>53
たとえば総当たりが行われているとする
もし今現在半分の組み合わせが試されていた場合
あとの半分で確実にクラックされる
ところがパスワード変更されるとまた全部を試さなければ
確実にクラックされることはない

この通りの高強度のパスワードをサイト毎に設定するなんて
パスワードマネージャー無しには不可能。

記事書いてる奴だってそうだろう。

誰がこのバグを仕込んだのか徹底的に調査するべきだね
故意に仕込んだ可能性もあるからね

パスワード凝りすぎて忘れた

>>61
ネットのパスワードが総当たりでアタックされるってどんな状況？

1passwordを使って
googleアカウントのパスを５０桁にしている
入力はいつもコピペ

パスワードが必要なサイトには
資金や信用や重要な情報を何一つ置かないことが肝要

メインバンクだけはネット運用しない。

>>1
（σ´∀｀）σ　ｹﾞｯﾂ！! 　１０日ごとに変更してるオレは勝ち組

秘密鍵の解読の仕方を教えてください

よし変更したぞ。忘れないように「PASS.txt」に書いておこう。

>>70
出先でも確認できるようにクラウドに置いておかなければ

>>70
待ち受け画面に

>>22
> >>20
> そのネット口座が乗っ取られて知らないうちにオレオレ詐欺とかに利用されていたら？
> 有罪にはならなくても何日かは拘留されるかもよ

まあそんな確率は交通事故に遭う確率より低いでしょう

毎回「パスワードを忘れた方はこちら」のお世話になればええんや！

>>17
その自称専門家は、「忘れないけど共通ではないパスワード」
の作り方を一つも思いつかない、ということだから、話を聞くに値しない。
パスワードを共通にする理由はどこにもないぞ。

まずいな　できる限りでかい素数にしよう

ＮＨＫ新潟放送局長 坂本務　「巷じゃ、隣家から電波攻撃だの飛んでるはずのな飛行ルートに
　　　　　　　　　　　　　　　　　　自衛隊航空機が飛ぶだのって騒がしいじゃねーの。
　　　　　　　　　　　　　　　　　　ありゃ〜自衛隊が民間人を一人、テロリスト仕立て上げた攻撃だはｗ
　　　　　　　　　　　　　　　　　　災害だの事件だの隣国の有事だの事象にアンカーリングさせてストーキングするのさ。
　　　　　　　　　　　　　　　　　　装備品で不法に追い回す行為に勤務手当で賄われる仕組みずらよ。
　　　　　　　　　　　　　　　　　　その不正受給額が一人あたり3年で1000万超えちゃってるんだぬ。
　　　　　　　　　　　　　　　　　　おれらもテレビで盗撮対象の仄めかす回数増やすぞな笑。」

4月2日、クリントン元大統領が、ジミー・キンメル司会のトーク番組に出演した際、
「エイリアンが地球にやってきても驚かない」と発言し話題になっている。

スノーデン出演！本当に凄い情報は、これから出す　「アメリカ政府は地底人を恐れている」

　　それは間もなく日本から始まる世界的株式市場の暴落によって起こるでしょう。
　　日本が所有しているアメリカの国債の25％を引き出すと、世界経済全体が破綻します。
　　株式市場崩壊後に出現する新しい政権は日本国民の側に立つものであろう。

　　もう間もなく、マイトレーヤはこの国〔アメリカ〕のテレビに現れるでしょう。
　　後に日本に、それから世界中のテレビに現れ、十分に多くの人がマイトレーヤに反応するとき、
　　彼はテレビに出て全世界に語りかけるように要請されるでしょう。
　　このイベントのためにテレビのネットワークが連結され、
　　彼は25分くらいの間、衛星中継によるテレビ網をとおして全世界に直接語りかけるでしょう。

　　それまでにはよく知られるようになっているマイトレーヤの顔を見るでしょう。
　　多くの人が彼を見て、「あの方がきっとマイトレーヤに違いない」と考えるでしょう。
　　彼は語らないでしょう。マイトレーヤの思考が、沈黙のうちにテレパシーによって聞こえるでしょう。
　　私たち自身の母国語でマイトレーヤの呼びかけを心の内に聞くでしょう。
　　テレパシーで私たちがパニックにならないよう、マイトレーヤがテレビに出演されるのです。

>>76
最大の素数ワラタ


全長17kmくらいになります。
世界最大の素数が発見されました。その数とは、「2の5788万5161乗−1」です。
「3」とか「17」みたいに全てのケタの数字を書くことはほぼ無理なくらい長く、ケタ数は1700万以上にもなります。
1ケタあたり1mmの小さ〜な数字で書いても、その長さは17kmに及びます。17kmって、
東京で言えば日本橋から神奈川との境の多摩川まで行けてしまう距離です。

>>79
だから何？あんたパスワードを手書きすんの？

ＵＦＪダイレクトのパスワード変えようと思ったら4桁の数字しか指定できないクソ仕様だった。

俺のパスワードは、アメリカ軍公認の共用

な、なんでも無い

お家にほぼ固定されている電化製品の製造番号にすれば、忘れてもすぐに確認できるで。
ランダムな英数字だし強力だ。
グーグルが情報を漏らした時は単純に「password」とかにしていたらしいけどな。

じゅげむ【変換】

XPの件もあって今日だすぞーって待ってた記事なのかな（笑）

こいつに昨日の書き込み無断転載されてんだけど

http://gadgetlife2ch.blomaga.jp/articles/33001.html

死ねよ

10桁パスワードで最後の３桁は全部違う

1234
pass

>>70
パソコンが起動しな時のために付箋に書いてモニターにも貼っておかないと

>>53
パスワードを含む暗号通信をキャプチャされたとするでしょ。
それを時間をかけて解いても、その頃にはパスワードが変わってたら役に立たないじゃん。
もちろん秘密にしたい情報そのものを暗号解読されて取得されることもあるけど、重要な情報をやみくもに解読するよりパスワードを手に入れて情報にアクセスする方が効率がいいから、
パスワードを定期的に役立たずにするってことは意味がある。

>>90
○重要かもわからない情報をやみくもに解読するより
×重要な情報をやみくもに解読するより

顔文字とか案外有効なパスワードかもねー

>>26
トレンドマイクロの
パスワードマネージャー的なのを
お買い求め下さいってこったろ

>数字と文字を組み合わせた少なくとも6〜8文字あるものがいいだろう。
その倍はほしいな
昔8文字までとかアホな制限あるサイトあったが
今は駆逐されたのだろうか？

>>94
この間に登録したムスビーは8文字、ちょっと前に退会して今はどうかわからんがPotoraも8文字、まだ他にもあった気がする。
あとパスワードにつまらんルールを押し付けるサイトもなんとかならんかね。
>>1にもあるけど、使えない文字があるのはある程度仕方ないにせよ使わなくちゃいけない文字種を指定してきたりとか、全く余計なお世話だわ。
そういうサイトだけ俺流パスワード生成法から外れるから後で忘れちゃうんだよ。
住基カードの電子証明書かなんかもそうだったかな？

しめじとバイドゥでイッパイ流出してるだろ

UFJ銀行のダイレクト、評価はCだが、Key Exchange鍵交換は40で赤、
暗号強度も70で黄色、

乱数表を配るだけの銀行だから、やっぱダメな銀行だな。

>>81
なに言うてまんの？

IBログインパスワード変更

半角英数字と半角記号の組み合わせで8桁以上16桁以内でご入力ください。記号は必須です。
（英字と記号、数字と記号、もしくは英字と数字と記号）
アルファベットの大文字と小文字を区別します。
利用可能な記号は # $ + - . / : = ? @ [ ] ^ _ ` | です。

>>70
手の甲にも油性ペンで書いとけ

yodobashi.comもレベルFだな。
>This server is vulnerable to MITM attacks because it supports insecure renegotiation. Grade set to F.
>Insecure Client-Initiated Renegotiation Supported INSECURE (more info)
って出るが、中間者攻撃の脆弱性の詳細はよく分からない。
管理者にメールすれば直してくれるのかな。

Heartbleed attackでアウトなのは、確認できたのはinter7.jpくらいか。
あそこは元々オレオレ証明書だし、既に漏れてたけど漏れっぱなしなんだろう。
管理者は対応する気0なだけだな。

パスワードを日ごろから暗記したり変更したりすることの負担がきつすぎる
他にも考えないといけないことはたくさんあるのに。

>>22
ネット口座で送金等の操作があった場合にはメールがくるんだが・・・。
金銭の絡む操作を含めほぼ全てにパスワードが求められそのパスワードは本人にしか分からない訳だが・・・。

パスワードがひとつだけ？
ドンだけセキュリティの弱いネット口座なの？

危険度どれくらいだ

OpenSSLの脆弱性を標的としたアクセスが増加、警察庁が注意喚起 -INTERNET Watch
ttp://internet.watch.impress.co.jp/docs/news/20140411_644031.html

これが現実の脅威だとわからずに、証明書の再発行もせずに放置している人の多いこと。

>>103
SSLの脆弱性というと、通信の保護が正常にされないて問題だけを想像してしまうが、
この脆弱性はそれだけじゃなくて、そのプロセスのメモリの内容を取得されてしまうんだと。
64KBずつしか取得できないけど、何度でも試行できるから、メモリに乗る可能性が
あるものならなんでも、盗まれてその情報でできることをされる可能性があるんだと。
攻撃の実施は容易みたいだから、ようするに、すげー危険。

OpenSSLを使うプロセスで何がメモリになにが乗るかはシステムの構成次第。
DBのパスワードまで取られる可能性がある構成のシステムもあるはず。

かなり怖いな
これもっと広く知れ渡らなきゃいけない問題のはずなのにあまり話題になってない‥

サーバー側でバージョンアップしてからでないとパスワード変えてもあまり意味ないのではないか。

パスワードを忘れてしまうというお馬鹿なリスクもあるという事をお忘れなく。

>>106
>>1にそう書かれてるな。対応状況のチェック方法まで書いてある。

これから先こんぴーたの性能が上がっていくと8桁くらいのパスでも余裕で解析されちゃったりするんだろうか
そしたらパスも桁数が増えていくのかな

8桁の総当たりしようとすればブロックされるし
二要素認証が増えてきてるからパスワードの桁数増やす必要なさげ

そんなんか　15〜16桁にしてたよw

>>104
みんながチェックに行ってんだろｗ

＞　この問題は、オープンソースのSSL/TLSライブラリ「OpenSSL」について、
＞プロセスのメモリ内容が外部から取得され、秘密鍵などの情報が漏えいする可能性のある脆弱性
＞（通称：Heartbleed）が明らかになったもの。

なんだくだらね

通信経路途中でのぞき見出来る…って話でしょ？
パス変えて、意味有るん？

>>113
脆弱性は暗号化の鍵が取られてしまうかもしれないというもの。
だからパスとは関係はないんだけど、すでに暗号が破られてて
パスが流出している可能性もあるから、パスを変えましょうという話。

サーバー側が対応前にパス変えるのは意味がないから、まずは
サーバー側が対処してからね。

銀行自体が顧客の情報を盗まれてパスワードその他を抜かれるならば、もう客がどうこうできる問題じゃない。
１００桁の英乱数入れても無駄だ。

しかしフィッシング詐欺で自分で騙されて入力したパスワードとかをその他の銀行とかでも使っているのならばマメにパスワード変更することは無駄なことじゃない。

パス隠しておマンコ隠さず

パスフレーズ37桁以上の俺は多分安全（`・ω・´）