ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方 第7版」
パスワードに関する対策
- 初期パスワードは、推測が困難な文字列で発行する
- パスワードの変更には、現行パスワードの入力を求める
- 入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする
- 入力フィールドでは、パスワードは伏せ字で表示されるようにする
- パスワードをサーバ内で保管する際は、平文ではなくソルト付きハッシュ値の形で保管する
参考URL
- IPA: パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(サービス利用者向けの解説)
- PHP.net: パスワードのハッシュ – Manual