ラボラジアン

Web技術の情報サイト（+ ICTリテラシー関連）

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」

投稿日：2015年4月27日更新日：2017年2月13日

ウェブサイトの安全性向上のための取り組み – パスワードに関する対策 by IPA「安全なウェブサイトの作り方第7版」

パスワードに関する対策

初期パスワードは、推測が困難な文字列で発行する
パスワードの変更には、現行パスワードの入力を求める
入力後の応答メッセージが認証情報の推測のヒントとならない工夫をする
入力フィールドでは、パスワードは伏せ字で表示されるようにする
パスワードをサーバ内で保管する際は、平文ではなくソルト付きハッシュ値の形で保管する

参考URL

IPA: パスワードリスト攻撃による不正ログイン防止に向けた呼びかけ(サービス利用者向けの解説)
- https://www.ipa.go.jp/about/press/20140917.html
PHP.net: パスワードのハッシュ – Manual
- http://php.net/manual/ja/faq.passwords.php

📂-Security
-Webプログラミング

執筆者：labo

comment コメントをキャンセル

関連記事

: クリックジャッキング(Clickjacking)対策

対策方法１：CSP(Content Security Policy) の frame-ancestors ディレクティブを使う。方法２：HTTP レスポンスヘッダに、X-Frame-Options …

: JVN iPediaに載っていた脆弱性を調査する

JVN iPedia という脆弱性対策情報データベースの Webサイトがあるのですが、そこに載っていた JVNDB-2016-005868 という脆弱性情報について調査する過程を紹介します。調査ま …

: バッファオーバーフロー by IPA「安全なウェブサイトの作り方第7版」

安全なウェブサイトの作り方：IPA 独立行政法人情報処理推進機構の、「バッファオーバーフロー」から一部抜粋する。（この資料はPDFでしか提供されていない）目次注意が必要なウェブサイトの特 …

: XSS Auditor が有効になっているかチェックするためのページを作りました

目次1. XSS とは？2. XSS を防ぐためのブラウザの機能「XSS Auditor」3. Webブラウザの XSS Auditor 機能が有効かどうか調べる4. 参考 1. XSS とは？ XS …

: openssl s_client コマンドでウェブサーバーの SSL/TLS 対応状況を診断する

openssl s_client コマンドを使い、ウェブサーバーのSSL/TLS対応状況を診断します。目次1. OpenSSL について2. openssl s_client コマンドについて以降の …

PREV: ウェブサイトの安全性向上のための取り組み - フィッシング詐欺を助長しないための対策 by IPA「安全なウェブサイトの作り方第7版」
NEXT: HTML Purifier の使い方