ログイン・アカウント
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>サインアップ]]
*目次 [#f356bddf]
#contents
*概要 [#fea075a1]
ログイン・アカウント = ユーザーIDとパスワード
*アカウント登録 [#m3dfab2a]
将来的には[[IDフェデレーションやソーシャルログイン対応]]...
**ユーザーID [#c613e18b]
メールアドレスをユーザーIDとして使用する。
***メールアドレス検証 [#v9a0d143]
-メールアドレス検証画面のGUID付きリンクをメール送信する。
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。
***メールアドレス変更 [#qdf0b9e1]
・・・。
**パスワード [#hb02a2f5]
***DBに登録する際、 [#g0e238c8]
[[ハッシュ+ソルト+ストレッチング>https://github.com/Ope...
***パスワードフィルタ [#jb408c05]
-8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれ...
-上記は、Password Generatorの既定の設定でクリアできる。
--パスワード自動生成 (Automated Password Generator)~
http://www.graviness.com/temp/pw_creator/
-ASCII.jp:ついに強化 ANAサイトのパスワードが8文字以上の...
http://ascii.jp/elem/000/000/924/924589/
--ネット上のパスワードが8文字以上の理由 - Excite Bit コネ...
http://www.excite.co.jp/News/bit/E1215651172555.html
--情報化推進レター 第24号 2011年9月号 巻末コラム~
パスワードはなぜ8文字以上にするのか~
http://www.waseda.jp/mnc/letter/2011sep/end_column.html
*画面・機能 [#u7ead8c6]
**ログイン画面 [#ofe67d6a]
***エラーメッセージ [#mb2621ed]
攻撃の手がかりを与えないように曖昧にする。~
「ユーザIDまたはパスワードが正しくありません」
***アカウントのロックアウト [#j03518b2]
20-30回ぐらいと多めにするか・・・。
***二要素認証 [#ede05609]
-二要素認証を実現する~
http://www.slideshare.net/hatanakaakihiro/ss-53907884
-Networkキーワード - 2要素認証:ITpro~
http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/010400...
-[[SMSを使った2要素認証を非推奨〜禁止>SC:法制度 - 情報セ...
**パスワード [#td3951a3]
***有効期限 [#oaa036a8]
主要なWebサービスで必須でないため採用しない。
***リマインダ [#k12e3101]
実装しない。~
パスワード・リセットを実装する。
***リセット [#l0775e44]
-セキュリティレベルによっては合言葉を必要とする。
-パスワードリセットのパスワード再設定画面のGUID付きリンク...
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。
*その他のロックアウト [#x7626743]
Webサービスを参考にすると良いかもしれない。
**FBの場合 [#d3a86f43]
-先日不正アクセスでFacebookアカウントロックされた!再開方...
http://wakarukoto.com/?p=13701
***FBのロックアウト文面(参考) [#m57139f9]
guest様
今までにご利用されたことのないコンピュータ、携帯機器、場...
新しい機器またはいつもと違う場所からFacedookにログインし...
-他人がアカウントにログインしたと思われる場合は、いつも...
-このログインが正当なものである場合は、これまでどおりFac...
詳しくは、こちらのヘルプセンターをご覧ください。
http---
よろしくお願いいたします。
Facedook Security Team
***FBのロックアウト解除方法 [#of51efb1]
-「友達の写真を特定」
-「セキュリティのための質問に回答」(合言葉のようなもの)
-「テキストでセキュリティコードを受け取る」([[SMS]]の二...
*参考 [#pd3bed7a]
-IPA セキュア・プログラミング講座:Webアプリケーション編~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
--第2章 アクセス制御
---ユーザ認証を自製する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
---ユーザ認証を外部化する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
-パスワードリマインダが駄目な理由 | 徳丸浩の日記~
http://blog.tokumaru.org/2013/05/why-is-the-password-remi...
終了行:
「[[.NET 開発基盤部会 Wiki>http://dotnetdevelopmentinfras...
-[[戻る>サインアップ]]
*目次 [#f356bddf]
#contents
*概要 [#fea075a1]
ログイン・アカウント = ユーザーIDとパスワード
*アカウント登録 [#m3dfab2a]
将来的には[[IDフェデレーションやソーシャルログイン対応]]...
**ユーザーID [#c613e18b]
メールアドレスをユーザーIDとして使用する。
***メールアドレス検証 [#v9a0d143]
-メールアドレス検証画面のGUID付きリンクをメール送信する。
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。
***メールアドレス変更 [#qdf0b9e1]
・・・。
**パスワード [#hb02a2f5]
***DBに登録する際、 [#g0e238c8]
[[ハッシュ+ソルト+ストレッチング>https://github.com/Ope...
***パスワードフィルタ [#jb408c05]
-8文字以上で大小英字と数字と記号がそれぞれ1文字以上含まれ...
-上記は、Password Generatorの既定の設定でクリアできる。
--パスワード自動生成 (Automated Password Generator)~
http://www.graviness.com/temp/pw_creator/
-ASCII.jp:ついに強化 ANAサイトのパスワードが8文字以上の...
http://ascii.jp/elem/000/000/924/924589/
--ネット上のパスワードが8文字以上の理由 - Excite Bit コネ...
http://www.excite.co.jp/News/bit/E1215651172555.html
--情報化推進レター 第24号 2011年9月号 巻末コラム~
パスワードはなぜ8文字以上にするのか~
http://www.waseda.jp/mnc/letter/2011sep/end_column.html
*画面・機能 [#u7ead8c6]
**ログイン画面 [#ofe67d6a]
***エラーメッセージ [#mb2621ed]
攻撃の手がかりを与えないように曖昧にする。~
「ユーザIDまたはパスワードが正しくありません」
***アカウントのロックアウト [#j03518b2]
20-30回ぐらいと多めにするか・・・。
***二要素認証 [#ede05609]
-二要素認証を実現する~
http://www.slideshare.net/hatanakaakihiro/ss-53907884
-Networkキーワード - 2要素認証:ITpro~
http://itpro.nikkeibp.co.jp/atcl/keyword/14/260922/010400...
-[[SMSを使った2要素認証を非推奨〜禁止>SC:法制度 - 情報セ...
**パスワード [#td3951a3]
***有効期限 [#oaa036a8]
主要なWebサービスで必須でないため採用しない。
***リマインダ [#k12e3101]
実装しない。~
パスワード・リセットを実装する。
***リセット [#l0775e44]
-セキュリティレベルによっては合言葉を必要とする。
-パスワードリセットのパスワード再設定画面のGUID付きリンク...
-GUID付きリンクに有効期間(1時間~1日程度)を設ける。
*その他のロックアウト [#x7626743]
Webサービスを参考にすると良いかもしれない。
**FBの場合 [#d3a86f43]
-先日不正アクセスでFacebookアカウントロックされた!再開方...
http://wakarukoto.com/?p=13701
***FBのロックアウト文面(参考) [#m57139f9]
guest様
今までにご利用されたことのないコンピュータ、携帯機器、場...
新しい機器またはいつもと違う場所からFacedookにログインし...
-他人がアカウントにログインしたと思われる場合は、いつも...
-このログインが正当なものである場合は、これまでどおりFac...
詳しくは、こちらのヘルプセンターをご覧ください。
http---
よろしくお願いいたします。
Facedook Security Team
***FBのロックアウト解除方法 [#of51efb1]
-「友達の写真を特定」
-「セキュリティのための質問に回答」(合言葉のようなもの)
-「テキストでセキュリティコードを受け取る」([[SMS]]の二...
*参考 [#pd3bed7a]
-IPA セキュア・プログラミング講座:Webアプリケーション編~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
--第2章 アクセス制御
---ユーザ認証を自製する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
---ユーザ認証を外部化する場合~
https://www.ipa.go.jp/security/awareness/vendor/programmi...
-パスワードリマインダが駄目な理由 | 徳丸浩の日記~
http://blog.tokumaru.org/2013/05/why-is-the-password-remi...
ページ名: