.NET 開発基盤部会 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

ログイン・アカウント = ユーザーIDとパスワード

アカウント登録

将来的にはIDフェデレーションやソーシャルログイン対応なども検討。

ユーザーID

メールアドレスをユーザーIDとして使用する。

メールアドレス検証

  • メールアドレス検証画面のGUID付きリンクをメール送信する。
  • GUID付きリンクに有効期間(1時間~1日程度)を設ける。

メールアドレス変更

・・・。

パスワード

DBに登録する際、

ハッシュ+ソルト+ストレッチングしたもの保存する。

パスワードフィルタ

  • 8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれるものを許可。

画面・機能

ログイン画面

エラーメッセージ

攻撃の手がかりを与えないように曖昧にする。
「ユーザIDまたはパスワードが正しくありません」

アカウントのロックアウト

20-30回ぐらいと多めにするか・・・。

二要素認証

パスワード

有効期限

主要なWebサービスで必須でないため採用しない。

リマインダ

実装しない。
パスワード・リセットを実装する。

リセット

  • セキュリティレベルによっては合言葉を必要とする。
  • パスワードリセットのパスワード再設定画面のGUID付きリンクをメール送信する。
  • GUID付きリンクに有効期間(1時間~1日程度)を設ける。

その他のロックアウト

Webサービスを参考にすると良いかもしれない。

FBの場合

FBのロックアウト文面(参考)

guest様

今までにご利用されたことのないコンピュータ、携帯機器、場所からFacedookアカウントへのログインがありました。安全のため、不正な利用がなかったことをご確認いただけるまで、Facedookアカウントを一時停止させていただきました。

新しい機器またはいつもと違う場所からFacedookにログインしましたか?

-他人がアカウントにログインしたと思われる場合は、いつもご利用のコンピュータからFacedookにログインし、以下の手順にしたがってアカウントの安全を回復してください。

-このログインが正当なものである場合は、これまでどおりFacedookアカウントをご利用ください。
詳しくは、こちらのヘルプセンターをご覧ください。

 http---

よろしくお願いいたします。
Facedook Security Team

FBのロックアウト解除方法

  • 「友達の写真を特定」
  • 「セキュリティのための質問に回答」(合言葉のようなもの)
  • 「テキストでセキュリティコードを受け取る」(SMS?の二要素認証)

参考


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-07-30 (月) 16:26:30 (136d)