((7回目の出直し🌻))

好きなことを自分のペースで、のんびり更新

HerokuのログインパスワードとAPIトークンがリセットされるらしい

連休中に仕事をする人が出てくるか、連休明けに大騒ぎになるか。

Herokuのセキュリティ向上策の連絡

先ほど、こんなメールがきました。日本時間で5月4日のAM9時です。

先日のGitHubのトークンが漏れちゃった件の延長でしょうか?パスワードを強制リセットするってことは、、、パスワードも持って行かれたんですかね。。?(想像で未確定事項です)

メールの内容

内容は、

  • 先日のセキュリティ事故の影響もあって、5月4日にログインのパスワードのリセットを開始する。
  • 強制リセットする前に自分で事前にやっておくのをお勧めする。
  • 自分でパスワードを再設定しなかったらHeroku側で強制的にリセットする。
  • Heroku側でリセットしたらログインができなくなるから、Forgot your password でパスワードの再設定が必要。

ちなみに、メールに書いてあるパスワードルールは、「ベストプラクティス」だ!と書いてあるので一般論が記載されているだけです。このとおりにパスワードルールが変更されているわけではないです。

follow the best practices below:

  • Minimum of 16 characters
  • Minimum complexity of 3 out of 4: Uppercase, Lowercase, Numeric, Symbol
  • Don't just add a letter or a 1 digit number to the existing password while changing
  • Passwords may not be duplicated across accounts

つまりは

  • パスワードは最低16文字
  • 最低限の複雑度として、大文字、小文字、数字、記号のうち3種類は使う
  • パスワード変更時に古いパスワードに1文字追加するだけとかやらない
  • パスワードは他のサイトと同じものを使わない

さすがに16文字は厳しいだろう。8文字を2回繰り返えせばいいのか。。

APIのアクセストークンもリセットされる

パスワードのリセットはまぁいいとして、大事なのはこっちでしょうか?

NOTE: A password reset will also invalidate your API access tokens. As a result, any automations you’ve built to integrate with the Heroku Platform API that use these tokens may result in 403 forbidden errors . To avoid downtime you will need to re-enable direct authorizations by following the instructions here and update your integrations to use your newly generated token.

訳すと

パスワードリセットするとAPIのアクセストークンも無効(invalidate)になる。その結果として、Heroku Platform APIを使っているビルドとか自動化とか403 forbiden errorsが返るようになる。ダウンタイムを避けたいのなら、Direct authorizationをやっておき新しく生成したトークンを設定しておく必要がある。

あらあら、

これをやられると連休中に動かなくなるシステムが出てきそうな気がしますね。

日本時間だといつだろう?

しかし、どのタイムゾーンでの5月4日と言っているのだろうか。。。

このメールが届いたのが日本時間の9時。
この時点で「5月4日に」と言っているくらいだから、アメリカ時間で動いているのかな?

ちょっとわからないなぁ。


時差計算 より引用

仮にアメリカ時間で5月4日0時だとすると、日本では5月4日の夕方ですね。

最後にまとめると

事前にパスワードリセットとAPIのトークン再設定ができるのであれば、やっておいたほうがよさそう。

やらなくても5月4日以降に強制的にリセットされる。

we will begin resetting user account passwords on May 4, 2022.
といってるので、パスワードリセットは4日から開始。

リセットされるとAPIのトークンも無効になっちゃう。

エラーになっても慌てずに

たぶん、明日の9時くらいにHeroku関連のシステムで何かエラーが起きたら、この影響かもしれません。

  • 突然システムがエラーになった
  • Herokuにログインしようと思ったらログインもできない
  • 乗っ取られたと勘違いしてパニックになる

ということが無いように。

"Forgot your password?" のリンクでリセットです。