.NET 開発基盤部会 Wiki
目次 †
概要 †
ログイン・アカウント = ユーザーIDとパスワード
アカウント登録 †
将来的にはIDフェデレーション対応なども検討。
ユーザーID †
メールアドレスをユーザーIDとして使用する。
メールアドレス検証 †
- メールアドレス検証画面のGUID付きリンクをメール送信する。
- GUID付きリンクに有効期間(1時間~1日程度)を設ける。
メールアドレス変更 †
・・・。
パスワード †
DBに登録する際、 †
ハッシュ+ソルト+ストレッチングしたもの保存する。
パスワードフィルタ †
- 8文字以上で英字と数字と記号がそれぞれ1文字以上含まれるものを許可。
- 上記は、Password Generatorの既定の設定でクリアできる。
画面・機能 †
ログイン画面 †
エラーメッセージ †
攻撃の手がかりを与えないように曖昧にする。
「ユーザIDまたはパスワードが正しくありません」
アカウントのロックアウト †
20-30回ぐらいと多めにするか、採用しない。
二要素認証 †
パスワード †
有効期限 †
主要なWebサービスで必須でないため採用しない。
リマインダ †
実装しない。
パスワード・リセットを実装する。
リセット †
- セキュリティレベルによっては合言葉を必要とする。
- パスワードリセットのパスワード再設定画面のGUID付きリンクをメール送信する。
- GUID付きリンクに有効期間(1時間~1日程度)を設ける。
参考 †