ログイン・アカウント のバックアップ(No.4)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• ログイン・アカウント へ行く。
  • 1 (2016-09-09 (金) 17:09:56)
  • 2 (2016-09-09 (金) 18:50:24)
  • 3 (2016-09-12 (月) 12:40:23)
  • 4 (2016-09-12 (月) 20:40:07)
  • 5 (2017-02-27 (月) 20:42:58)
  • 6 (2018-07-30 (月) 16:26:30)

---

.NET 開発基盤部会 Wiki

• 戻る?

目次 †

概要 †

ログイン・アカウント = ユーザーIDとパスワード

アカウント登録 †

将来的にはIDフェデレーションやソーシャルログイン対応?なども検討。

ユーザーID †

メールアドレスをユーザーIDとして使用する。

メールアドレス検証 †

• メールアドレス検証画面のGUID付きリンクをメール送信する。
• GUID付きリンクに有効期間（1時間～1日程度）を設ける。

メールアドレス変更 †

・・・。

パスワード †

DBに登録する際、 †

ハッシュ＋ソルト＋ストレッチングしたもの保存する。

パスワードフィルタ †

• 8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれるものを許可。

• 上記は、Password Generatorの既定の設定でクリアできる。
  • パスワード自動生成 (Automated Password Generator)
    http://www.graviness.com/temp/pw_creator/

• ASCII.jp：ついに強化　ANAサイトのパスワードが8文字以上の英数字に
  http://ascii.jp/elem/000/000/924/924589/
  • ネット上のパスワードが8文字以上の理由 - Excite Bit コネタ(1/2)
    http://www.excite.co.jp/News/bit/E1215651172555.html
  • 情報化推進レター　第24号　2011年9月号　巻末コラム
    パスワードはなぜ8文字以上にするのか
    http://www.waseda.jp/mnc/letter/2011sep/end_column.html

画面・機能 †

ログイン画面 †

エラーメッセージ †

攻撃の手がかりを与えないように曖昧にする。
「ユーザIDまたはパスワードが正しくありません」

アカウントのロックアウト †

20-30回ぐらいと多めにするか・・・。

二要素認証 †

• 二要素認証を実現する
  http://www.slideshare.net/hatanakaakihiro/ss-53907884
• Networkキーワード - 2要素認証：ITpro
  http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/010400045/

• SMS?を使った二要素認証を非推奨〜禁止へ、
  米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch? Japan
  http://jp.techcrunch.com/2016/07/26/20160725nist-declares-the-age-of-sms-based-2-factor-authentication-over/
  • http://security.srad.jp/story/16/07/26/0920203/
  • http://blog.ohgaki.net/sms-2-factor-authentication-risk

パスワード †

有効期限 †

主要なWebサービスで必須でないため採用しない。

リマインダ †

実装しない。
パスワード・リセットを実装する。

リセット †

• セキュリティレベルによっては合言葉を必要とする。
• パスワードリセットのパスワード再設定画面のGUID付きリンクをメール送信する。
• GUID付きリンクに有効期間（1時間～1日程度）を設ける。

その他のロックアウト †

Webサービスを参考にすると良いかもしれない。

FBの場合 †

• 先日不正アクセスでFacebookアカウントロックされた！再開方法
  http://wakarukoto.com/?p=13701

FBのロックアウト文面（参考） †

guest様

今までにご利用されたことのないコンピュータ、携帯機器、場所からFacedookアカウントへのログインがありました。安全のため、不正な利用がなかったことをご確認いただけるまで、Facedookアカウントを一時停止させていただきました。

新しい機器またはいつもと違う場所からFacedookにログインしましたか？

-他人がアカウントにログインしたと思われる場合は、いつもご利用のコンピュータからFacedookにログインし、以下の手順にしたがってアカウントの安全を回復してください。

-このログインが正当なものである場合は、これまでどおりFacedookアカウントをご利用ください。
詳しくは、こちらのヘルプセンターをご覧ください。

 http---

よろしくお願いいたします。
Facedook Security Team

FBのロックアウト解除方法 †

• 「友達の写真を特定」
• 「セキュリティのための質問に回答」（合言葉のようなもの）
• 「テキストでセキュリティコードを受け取る」（SMS?の二要素認証）

参考 †

• IPA セキュア・プログラミング講座：Webアプリケーション編
  https://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html
  • 第2章 アクセス制御
    • ユーザ認証を自製する場合
      https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html
    • ユーザ認証を外部化する場合
      https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/104.html

• パスワードリマインダが駄目な理由 | 徳丸浩の日記
  http://blog.tokumaru.org/2013/05/why-is-the-password-reminder-bad.html

     

Site admin: TechInfoOfMicrosoftTech

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.019 sec.