ラボラジアン

Web技術の情報サイト（+ ICTリテラシーなど）

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」

投稿日：2015年4月27日更新日：2017年2月13日

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」

パスワードに関する対策

初期パスワードは、推測が困難な文字列で発行する
パスワードの変更には、現行パスワードの入力を求める
入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする
入力フィールドでは、パスワードは伏せ字で表示されるようにする
パスワードをサーバ内で保管する際は、平文ではなくソルト付きハッシュ値の形で保管する

参考URL

IPA: パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(サービス利用者向けの解説)
- https://www.ipa.go.jp/about/press/20140917.html
PHP.net: パスワードのハッシュ – Manual
- http://php.net/manual/ja/faq.passwords.php

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: クリックジャッキング by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「クリックジャッキング」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブサイトの特徴根本的解決 …

: Amazon.co.jp の2段階認証で、スマートフォンを紛失した場合に備える

目次1. はじめに2. バックアップコードの機能がない3. スマートフォン紛失時のログイン手段として「コードが要求されない端末」を利用する4. 現時点でのまとめ 1. はじめに Amazon.co.j …

: ウェブサイトの完全 SSL/TLS 化が進んでいる

参考 Google、Chromeで半数以上がHTTPSを利用と発表 | マイナビニュース 2016/11/09 Chrome は Google にどこまでの情報を送っているのでしょうか？そこも気にな …

: パスワード情報をクラウドに保存して大丈夫なのか？

パスワード情報をクラウドに保存することの危険性について書きました。

: 紛らわしいパスワードを生成しない工夫

紛らわしいパスワードを生成しない工夫について書いています。

PREV: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」
NEXT: HTML Purifier の使い方