パスワード
2022-09-17 (土) 10:26:00
パスワードとは †
パスワードの基本要件(ポリシー) †
- 文字列を一定の長さにする。
- 複数の文字種を使う。(英大文字/英小文字/数字/記号)
- 本人のプロフィールから類推できない。(氏名/趣味/生年月日)
- キーボードの配列順を使わない。
- IDと同じ文字列を使わない。
- 特定の単語を使わない。
- leetを使わない。
- パスワードの再利用(以前使った文字列と同じ文字列の使用)を一定回数、一定期間使えないようにする。
パスワードに類似するもの †
PIN(暗証番号・パスコード) †
- デバイスに入力するネットワークを介さないで認証で使う文字列。
パスフレーズ †
- 文章のような長い文字列を使う。
- パスワードとの違い
- 空白文字を許容
- Unicodeを許容
- 複雑さより長さ
セキュリティコード †
パスワードの保存 †
認証サーバ側 †
- パスワードは暗号化ではなくハッシュで保存する。
- 認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。
- ハッシュ関数は、セキュリティ上強固な方式を利用する。
- ハッシュを生成する際はsaltを使う。
クライアント側 †
- WebブラウザにIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。
- Webブラウザに保存したIDとパスワードを自動入力する。
- Credential Management API
- WebAuthentication API
パスワードの鍵導出関数 †
パスワードリセット †
- ブルートフォース攻撃の対策をしていること。
ワンタイムパスワード(OTP) †
- 「ワンタイムパスワード認証」参照
ガイドライン †
電子認証に関するガイドライン(SP800-63) †
セキュリティ・不正アクセス †
パスワードクラック †
- 「パスワードクラック」参照
- フィッシング
- 2段階認証(多要素認証)を利用して対策する。
- ブルートフォース攻撃
- リバースブルートフォース攻撃
- リスト型攻撃
- リプレイ攻撃
パスワードレス †
パスワードジェネレーター †
OS標準 †
- macOS
- キーチェーンのパスワードアシスタント
アプリ †
Webサービス †
- PASSWORD GENERATOR TOOL - LastPass
https://www.lastpass.com/features/password-generator
- パスワードジェネレーター - 1Password
https://1password.com/jp/password-generator/
関連サイト †
- パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 (2019/01/26)
https://www.slideshare.net/techblogyahoo/b1-id-yjtc
- パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)
https://techblog.yahoo.co.jp/entry/2020120330052978/
- password checker - kaspersky
https://password.kaspersky.com/jp/
パスワードが漏洩したことがあるか確認するサービス †
- Have I Been Pwned (HIBP)
https://haveibeenpwned.com/
- Password Checkup (Google公式;Chrome拡張)
- Firefox Monitor
https://monitor.firefox.com/
- AmIBreached
https://amibreached.com/
- Password leak checker - cybernews
https://cybernews.com/password-leak-check/