「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfrastructure.osscons.jp]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>サインアップ]] *目次 [#f356bddf] #contents *概要 [#fea075a1] ログイン・アカウント = ユーザーIDとパスワード *アカウント登録 [#m3dfab2a] 将来的には[[IDフェデレーションやソーシャルログイン対応]]なども検討。 **ユーザーID [#c613e18b] メールアドレスをユーザーIDとして使用する。 ***メールアドレス検証 [#v9a0d143] -メールアドレス検証画面のGUID付きリンクをメール送信する。 -GUID付きリンクに有効期間(1時間~1日程度)を設ける。 ***メールアドレス変更 [#qdf0b9e1] ・・・。 **パスワード [#hb02a2f5] ***DBに登録する際、 [#g0e238c8] [[ハッシュ+ソルト+ストレッチング>https://github.com/OpenTouryoProject/OpenTouryo/blob/develop/root/programs/C%23/Frameworks/Tools/Encryption/EncAndDecUtil/Form1.cs]]したもの保存する。 ***パスワードフィルタ [#jb408c05] -8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれるものを許可。 -上記は、Password Generatorの既定の設定でクリアできる。 --パスワード自動生成 (Automated Password Generator)~ http://www.graviness.com/temp/pw_creator/ -ASCII.jp:ついに強化 ANAサイトのパスワードが8文字以上の英数字に~ http://ascii.jp/elem/000/000/924/924589/ --ネット上のパスワードが8文字以上の理由 - Excite Bit コネタ(1/2)~ http://www.excite.co.jp/News/bit/E1215651172555.html --情報化推進レター 第24号 2011年9月号 巻末コラム~ パスワードはなぜ8文字以上にするのか~ http://www.waseda.jp/mnc/letter/2011sep/end_column.html *画面・機能 [#u7ead8c6] **ログイン画面 [#ofe67d6a] ***エラーメッセージ [#mb2621ed] 攻撃の手がかりを与えないように曖昧にする。~ 「ユーザIDまたはパスワードが正しくありません」 ***アカウントのロックアウト [#j03518b2] 20-30回ぐらいと多めにするか・・・。 ***二要素認証 [#ede05609] -二要素認証を実現する~ http://www.slideshare.net/hatanakaakihiro/ss-53907884 -Networkキーワード - 2要素認証:ITpro~ http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/010400045/ -[[SMS]]を使った二要素認証を非推奨〜禁止へ、~ 米国立技術規格研究所NISTの新ガイダンス案 | TechCrunch Japan~ http://jp.techcrunch.com/2016/07/26/20160725nist-declares-the-age-of-sms-based-2-factor-authentication-over/ --http://security.srad.jp/story/16/07/26/0920203/ --http://blog.ohgaki.net/sms-2-factor-authentication-risk **パスワード [#td3951a3] ***有効期限 [#oaa036a8] 主要なWebサービスで必須でないため採用しない。 ***リマインダ [#k12e3101] 実装しない。~ パスワード・リセットを実装する。 ***リセット [#l0775e44] -セキュリティレベルによっては合言葉を必要とする。 -パスワードリセットのパスワード再設定画面のGUID付きリンクをメール送信する。 -GUID付きリンクに有効期間(1時間~1日程度)を設ける。 *その他のロックアウト [#x7626743] Webサービスを参考にすると良いかもしれない。 **FBの場合 [#d3a86f43] -先日不正アクセスでFacebookアカウントロックされた!再開方法~ http://wakarukoto.com/?p=13701 ***FBのロックアウト文面(参考) [#m57139f9] guest様 今までにご利用されたことのないコンピュータ、携帯機器、場所からFacedookアカウントへのログインがありました。安全のため、不正な利用がなかったことをご確認いただけるまで、Facedookアカウントを一時停止させていただきました。 新しい機器またはいつもと違う場所からFacedookにログインしましたか? -他人がアカウントにログインしたと思われる場合は、いつもご利用のコンピュータからFacedookにログインし、以下の手順にしたがってアカウントの安全を回復してください。 -このログインが正当なものである場合は、これまでどおりFacedookアカウントをご利用ください。 詳しくは、こちらのヘルプセンターをご覧ください。 http--- よろしくお願いいたします。 Facedook Security Team ***FBのロックアウト解除方法 [#of51efb1] -「友達の写真を特定」 -「セキュリティのための質問に回答」(合言葉のようなもの) -「テキストでセキュリティコードを受け取る」([[SMS]]の二要素認証) *参考 [#pd3bed7a] -IPA セキュア・プログラミング講座:Webアプリケーション編~ https://www.ipa.go.jp/security/awareness/vendor/programmingv2/web.html --第2章 アクセス制御 ---ユーザ認証を自製する場合~ https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/101.html ---ユーザ認証を外部化する場合~ https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/104.html -パスワードリマインダが駄目な理由 | 徳丸浩の日記~ http://blog.tokumaru.org/2013/05/why-is-the-password-reminder-bad.html