そのパスワードは安全ですか? WEBサービス制作側と利用者の双方から考えてみた
今秋に完成するAmazonのapiを利用したWEBサービスを作っていて、
IDとパスワードのことで、セキュリティーの話になった。
かんたんにいえば、
パスワードをプログラムが自動で作って登録者に渡したほうのがいいのか、
それとも、登録者に考えさせたほうのがいいのか?
と、いうきわめて初歩的な話題だ。
AmazonのApi利用のwebサービスで
立ち読みbook (Amazonランキング上位100位までを1時間ごとに自動更新し
というサイトを作ったときは
「パスワードをプログラムが自動で作って登録者に渡した」
だが、利用する読者のことを考えると
後者のほうがいいという意見もある。
そして、
けっきょく 新しいAmazonのapiを利用したWEBサービス
でも 「パスワードをプログラムが自動で作る」 ということに決定した。
登録者、会員が自分でパスワードを決められることになると
覚えやすくて、短いパスワードを設定してしまいがちになり、
結果として、短い時間でパスワードクラックされやすくなるからだ。
そして、
さらに悪いことに そのパスワードは
Yahooやtwitterなどで 同じパスワードで 使いまわし
されているケースが多く、IDも同じということが多いことだ。
つまり、ひとつのパスワードがクラックされれば
Yahooもtwitterなども 同じくクラックされてしまい
のっとられる可能性が高くなるのだ。
パスワードは SHA-1のような暗号的ハッシュアルゴリズム
で格納されるから問題ない。 復号はできないと言う方もいるが、
作られたパスワードが脆弱だと
総当り攻撃で使いやすいパスワードから入力していけばハッシュ値
を求めることは短い時間で可能だ。
そんなことが ありえるので、「パスワードをプログラムが自動で作る」 ということに決定した
のだが、
登録者・会員の利便性を考えるなら
クッキーを使ってパスワードを記憶させたり、
WEBDBとか、小さな埋め込みFlashとかを使って
パスワードを管理させたりという方法もあり、よっぽど安全になる。
ちなみに
個人情報をネットから抜き取る方々は、
暗号化されたパスワードを 総攻撃の入力で解明し
「このパスワードは、この暗号化されたハッシュ値になるのね」とわかっていく。
当然、みんなが考えやすい パスワードは 暗号化されたデータから
わかってしまうので簡単ということになる。
そして、
その情報を 業者に売って IDと該当パスワードが拡散。
Yahoo!でこのパスワードを使っているんだから、twitterでも
Lineでもmixiでも同じだろうということで
複数SNS・サイトを乗っ取り、被害発生というパターンになります。
LINE は、「NAVER」ブランドで提供している各種サービス用の会員情報「NAVER アカウント」が不正アクセスにより漏洩(ろうえい)した可能性があると発表
なんていうニュースがあとをたたないので、
注意してくださいませ。
ちなみに、
考えたパスワードが実際に攻撃を受けた場合に、どれくらいの時間で破られてしまうのかをシミュレートしてくれるWebツール How Secure Is My Password (ただし、このサイトの身元に信頼が持てるかどうか不明で、投入したパスワードをこっそり記録するかもしれないので、Webツールを利用する際には使っているパスワードは入力しないほうがいいと思うのです。注意してください)
破たん後、根抵当権付不動産に対する他の金融機関からの仮差押がくる場合とは
破たん後、根抵当権付不動産に対する他の金融機関からの仮差押がくるかどうかということについて
よく質問がある。
そこで、1件ごとに質問に答えるのも、私としても
つらいので、ちょっとまとめておこうと思う。
そんなわけで、
前提条件としては
1、期限の利益喪失済み
2、融資等の金融債務 > 債務者・連帯保証人の資産
ということで話をすすめたい。
○
まず、仮差押をする不動産について 債権者(金融機関など)がその存在を知らなければ
仮差押さえは来ない。
しかし、担保設定もない土地・建物を、 破たんして期限の利益を喪失したD社がもってい場合、
仮差押はその土地に来ないか? というと、そんなことは言えない。
よっぽど 価値のない土地 とかでなければ 仮差押の可能性はある。
仮に、その土地・建物の存在を融資銀行に知らせていなくても
決算書でちゃんと銀行は確認している。
その土地・建物が連帯保証人である社長の個人資産だったらどうかというと、
個人信用情報照会でわかるとか、過去の融資履歴で 過去にそれを買ったことがわかるとか、
調書に書きとめてあるとかでわかるケースが多い。
○
つぎに、余力のない不動産にたいする 仮差押 は、くるかどうかだが、
これは 微妙だ。
げんに まったく余力がないと思われる不動産に差押が来る場合も
今では けっこうあるからだ。
余力 とは 時価3,000万円の不動産なのに
根抵当権が6,000万円ついていて 担保債務が5,000万円ある場合だ。
債権者が 任意売買時に優位にたちたいと思ったり、無担保の融資金額が大きすぎて
何もしない場合、上層部からおとがめがある場合などは
平然と仮差押をしてくる。
○
と、だいたい概論はこんな感じなのだが、
さらに、「債権額が その不動産から得られるだろう金額にたいして、大きすぎて
仮差押の担保金の金額が大きくなるため
仮差押をしてこないのじゃないか?」
という疑問も先日いただいたので、それにたいする回答もしちゃいます。
まず、よく 一般的に 仮差押の担保金は その不動産評価額の2割程度などと
言われるが、それは正しいとはいえない。
げんに5%とか8%とかでの仮差押もある。
下記の例で言うと、
時価2,500万円の不動産にC銀行の根抵当がついていて残債は3,000万円。余力なし
、信用保証協会付の債務が7,000万円あり、これが無担保だとする。
このケースで他に資産がなければ信用保証協会の債務7,000万円の状況では担保金が仮に
5%としても350万円で、はたして そこまでして 仮差押をするのだろうか? という疑問がわくことと思う。
ところが、A銀行の融資だけで 仮差押をしてくることは十分あるし、実際に行われている。
つまり1,000万円の融資金だけの仮差押ということなのだ。
これだと5%と考えた場合、担保金は50万円ですむ。
では、信用保証協会が この仮差押をしてくる時期とは いつなのか?
これは 代位弁済後になる。
つまり、普通の延滞債務なら、返済できなくなってから 3か月後と考えてもいいと思う。
事故届け→3か月後代位弁済
という感じです。
*民事保全法(保全命令の担保)
第十四条 保全命令は、担保を立てさせて、若しくは相当と認める一定の期間内に担保を立てることを保全執行の実施の条件として、又は担保を立てさせないで発することができる。
2 前項の担保を立てる場合において、遅滞なく第四条第一項の供託所に供託することが困難な事由があるときは、裁判所の許可を得て、債権者の住所地又は事務所の所在地その他裁判所が相当と認める地を管轄する地方裁判所の管轄区域内の供託所に供託することができる。
- テレビ番組 日曜劇場 半沢直樹 が
- 面白かったので、
- ↓
- オレたちバブル入行組 (文春文庫)/文藝春秋
- ¥690
- Amazon.co.jp
ついでに
私の本 も 読んで見てみてください
- 社長さん! あなたの資産と会社を守る最後の一手、教えます!/坂田 薫
- ¥1,680
- Amazon.co.jp
立ち読みbook.comシステムの変更と、思わぬ優れものの「忍者ツール」発見
Amazon (名前空間)を利用している
立ち読みbook
5月2日夜中にAmazonの名前空間取得がうまくいかなくなり、
100位までのランキングの取得がうまくいかず、
システムの修正を5月10日までに完了しました。
ついでにということで、
Twitterのツイートボタン、Facebookのいいねボタン、Google+の+1ボタン、はてなブックマークのはてブボタン、Googleリーダーの登録ボタンなどを 忍者ツールズ を使って設置。
個別ページに張り付いています。
これ アクセスの分析もできてけっこうな優れものです
- Twitter・Facebook・YouTube・Ustream── ”ソーシャル”なサイト構.../MdN
- ¥2,415
- Amazon.co.jp