パスワードの不備(安全なウェブサイトの作り方)

2014.02.21

安全なウェブサイトの作り方での目次。

2.1 ウェブサーバのセキュリティ対策について
2.2 DNS 情報の設定不備
2.3 ネットワーク盗聴への対策
2.4 パスワードの不備
2.5 フィッシング詐欺を助長しないための対策
2.6 WAF によるウェブアプリケーションの保護
2.7 携帯ウェブ向けのサイトにおける注意点

前回は、ネットワーク盗聴への対策を学んだ。学べてないけど。
今回は 「パスワードの不備」について。

1.パスワードの不備

認証情報の不正取得の手段の一つに、ユーザID やパスワードの「推測」があります。これは、推測されやすい単純なパスワードで運用している場合に悪用される手段ですが、ウェブページの表示方法によっては、さらに推測のヒントを与えてしまう場合があります。

パスワードが漏洩する原因には、アプリケーション側での原因も存在する。
単純なパスワードを初期に割り当てたり、入力画面でパスワードを伏字にしなかったりと、など。

てか、「パスワードの不備」って、パスワードを使用していないって意味に感じるな。

以下対策。

初期パスワードは、推測が困難な文字列で発行する

通信を暗号化する主な手段として、SSL(Secure Socket Layer)やTLS(Transport Layer Security) を用いたHTTPS 通信の利用があります。個人情報の登録ページや認証情報をリクエストするログイン ページ等、保護するべき情報を扱うウェブサイトでは、通信経路を暗号化することをお勧めします。

ネットワークを暗号化するという方法。「https」のこと。
サイトと利用者の間のみ、という限定的なものであるがとても協力。

個人情報の登録、ログインページなど、URLを確認してみると「https」になっている。

欠点があるとしたら、HTTPS通信を提供していないレンタルサーバなどでは利用できない。

パスワードの変更には、現行パスワードの入力を求める

暗号化が必要な情報を利用者に通知する場合 は、HTTPS 通信を利用し、ウェブページに表示することをお勧めします。

メールで重要情報をやり取りするのはやめよう、っていう話。
利用者にパスワードなどを通知する場合は、メールだとネットワークを経由してしまうので、HTTPS通信でウェブページに表示するべき。

入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする

上で、「メールで重要情報やり取りするのはやめよう」って言ったけど、する場合の話。

メールにも暗号化するプロトコルがある。
S/MIME(Secure / Multipurpose Internet Mail Extensions):公開鍵暗号方式
PGP(Pretty Good Privacy):共通鍵暗号方式と公開鍵暗号方式を組み合わせた暗号化方式

しかし、S/MIMEは受信側(利用者側)でも S/MIMEを利用できる環境でないといけない(受信側でS/MIME証明書が必要)、PGPはあらかじめ秘密鍵を取得しておく必要がある、との理由で現実的ではない。

パスワード入力のフォームでは、入力文字列を伏せ字で表示する

伏せ字って言うのは「*」など。
パスワードを盗み見させないため、表示させる文字のこと。

最近だと、スマホとかでは入力文字を1秒くらい表示させてから、伏せ字に自動変換してる。

参考

安全なウェブサイトの作り方

コメント

  1. Johne203 より:
    2014年8月18日 8:03 PM

    I truly appreciate this post. I have been looking all over for this! Thank goodness I found it on Bing. You’ve made my day! Thanks again! edccfgefcegb

    返信
タイトルとURLをコピーしました