「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>サインアップ]]

*目次 [#f356bddf]
#contents

*概要 [#fea075a1]
ログイン・アカウント = ユーザーIDとパスワード

*アカウント登録 [#m3dfab2a]
将来的には[[IDフェデレーションやソーシャルログイン対応]]なども検討。

**ユーザーID [#c613e18b]
メールアドレスをユーザーIDとして使用する。

***メールアドレス検証 [#v9a0d143]
-メールアドレス検証画面のGUID付きリンクをメール送信する。
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。

***メールアドレス変更 [#qdf0b9e1]
・・・。

**パスワード [#hb02a2f5]
***DBに登録する際、 [#g0e238c8]
[[ハッシュ+ソルト+ストレッチング>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/CS/Frameworks/Tools/Encryption/EncAndDecUtil/Form1.cs]]したもの保存する。

***パスワードフィルタ [#jb408c05]
-8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれるものを許可。

-上記は、Password Generatorの既定の設定でクリアできる。
--パスワード自動生成 (Automated Password Generator)~
http://www.graviness.com/temp/pw_creator/

-ASCII.jp:ついに強化 ANAサイトのパスワードが8文字以上の英数字に~
http://ascii.jp/elem/000/000/924/924589/
--ネット上のパスワードが8文字以上の理由 - Excite Bit コネタ(1/2)~
http://www.excite.co.jp/News/bit/E1215651172555.html
--情報化推進レター 第24号 2011年9月号 巻末コラム~
パスワードはなぜ8文字以上にするのか~
http://www.waseda.jp/mnc/letter/2011sep/end_column.html

*画面・機能 [#u7ead8c6]

**ログイン画面 [#ofe67d6a]

***エラーメッセージ [#mb2621ed]
攻撃の手がかりを与えないように曖昧にする。~
「ユーザIDまたはパスワードが正しくありません」

***アカウントのロックアウト [#j03518b2]
20-30回ぐらいと多めにするか・・・。

***二要素認証 [#ede05609]
-二要素認証を実現する~
http://www.slideshare.net/hatanakaakihiro/ss-53907884

-Networkキーワード - 2要素認証:ITpro~
http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/010400045/

-[[SMS]]を使った二要素認証を非推奨〜禁止へ、~
米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan~
http://jp.techcrunch.com/2016/07/26/20160725nist-declares-the-age-of-sms-based-2-factor-authentication-over/
--http://security.srad.jp/story/16/07/26/0920203/
--http://blog.ohgaki.net/sms-2-factor-authentication-risk
-[[SMSを使った2要素認証を非推奨〜禁止>SC:法制度 - 情報セキュリティ、ITサービス(規格と制度)#d89adae5]]

**パスワード [#td3951a3]

***有効期限 [#oaa036a8]
主要なWebサービスで必須でないため採用しない。

***リマインダ [#k12e3101]
実装しない。~
パスワード・リセットを実装する。

***リセット [#l0775e44]
-セキュリティレベルによっては合言葉を必要とする。
-パスワードリセットのパスワード再設定画面のGUID付きリンクをメール送信する。
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。

*その他のロックアウト [#x7626743]
Webサービスを参考にすると良いかもしれない。

**FBの場合 [#d3a86f43]
-先日不正アクセスでFacebookアカウントロックされた!再開方法~
http://wakarukoto.com/?p=13701

***FBのロックアウト文面(参考) [#m57139f9]

 guest様
 
 今までにご利用されたことのないコンピュータ、携帯機器、場所からFacedookアカウントへのログインがありました。安全のため、不正な利用がなかったことをご確認いただけるまで、Facedookアカウントを一時停止させていただきました。
 
 新しい機器またはいつもと違う場所からFacedookにログインしましたか?
 
 -他人がアカウントにログインしたと思われる場合は、いつもご利用のコンピュータからFacedookにログインし、以下の手順にしたがってアカウントの安全を回復してください。
 
 -このログインが正当なものである場合は、これまでどおりFacedookアカウントをご利用ください。
 詳しくは、こちらのヘルプセンターをご覧ください。
 
  http---
 
 よろしくお願いいたします。
 Facedook Security Team

***FBのロックアウト解除方法 [#of51efb1]
-「友達の写真を特定」
-「セキュリティのための質問に回答」(合言葉のようなもの)
-「テキストでセキュリティコードを受け取る」([[SMS]]の二要素認証)

*参考 [#pd3bed7a]
-IPA セキュア・プログラミング講座:Webアプリケーション編~
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html
--第2章 アクセス制御
---ユーザ認証を自製する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html
---ユーザ認証を外部化する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/104.html

-パスワードリマインダが駄目な理由 | 徳丸浩の日記~
http://blog.tokumaru.org/2013/05/why-is-the-password-reminder-bad.html

トップ   編集 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS