 |
||||||||||||
|
||||||||||||
| 1 2 3 次のページ | ||||||||||||
|
||||||||||||
| パスワードの不備 | ||||||||||||
|
Webサイトにおける利用者の認証は、利用者IDとパスワードを用いる方法が一般的です。しかし、パスワードの運用やWebページ上のパスワードの取り扱い方法に問題がある場合、利用者の認証情報が悪意ある人に不正取得される可能性が高まります。  図1:認証情報の不正取得 認証情報の不正取得の手段の1つに、利用者IDやパスワードの「推測」があります。 これは、推測されやすい単純なパスワードで運用している場合に悪用される手段ですが、Webページの表示方法によっては、さらに推測のヒントを与えてしまう場合があります。 利用者の認証を行うWebサイトでは、次の内容に注意してください。
表1:パスワードの不備の対策 |
||||||||||||
| 初期パスワードは、推測が困難な文字列で発行する | ||||||||||||
|
これは、認証情報の推測を困難にするための対策です。 初期パスワードは、乱数を利用して規則性をなくし、可能であれば英数字や記号を含めた長い文字列で発行してください。パスワード発行に規則性がある場合、調査のためのテストユーザを複数登録され、その際に発行されたパスワードから規則性を導き出されてしまうかもしれません。 利用者によっては、初期パスワードを変更せずに継続して利用することも考えられるため、初期パスワードが推測しやすい仕様は避けるべきです。 |
||||||||||||
| パスワードの変更には、現行パスワードの入力を求める | ||||||||||||
|
これは、第三者がパスワードを変更できないようにするための対策です。パスワードの変更には、必ず現行パスワードの入力を求めるようにしてください。 |
||||||||||||
| 入力後の応答メッセージが認証情報の推測のヒントとならない工夫する | ||||||||||||
|
これは、認証情報の推測を困難にするための対策です。 認証画面で利用者が入力を誤った際、遷移後の画面で「パスワードが間違っています」というエラーメッセージを表示するものは、「利用者IDは正しく、パスワードが間違っている」ということを示していることになります。 このような表示内容は、登録されている利用者IDの割り出しを容易にしてしまうため、お勧めできません。入力後の応答メッセージには、「利用者IDもしくはパスワードが違います」というような表示を用い、認証情報の推測のヒントを与えない工夫をしてください。 |
||||||||||||
| パスワード入力のフォームでは、入力文字列を伏せ字で表示する | ||||||||||||
|
これは、認証情報の盗み見を回避するための対策です。利用者が入力したパスワード文字列は、伏せ字(アスタリスク"*")で表示してください。 |
||||||||||||
|
1 2 3 次のページ |
||||||||||||
|
安全なウェブサイトの作り方 - ウェブアプリケーションのセキュリティ実装とウェブサイトの安全性向上のための取り組み 2006年1月31日にIPAは、ウェブサイト運営者がウェブサイト上で発生しうる問題に対して、適切な対策ができるようにするため、「安全なウェブサイトの作り方」を取りまとめ公開いたしました。 本記事は、その報告書の転載です。詳しい内容に関しましては、以下のURLをご参照ください。 安全なウェブサイトの作り方 http://www.ipa.go.jp/security/vuln/documents/2005/website_security.pdf 脆弱性関連情報に関する届出について http://www.ipa.go.jp/security/vuln/report/index.html IPA(独立行政法人情報処理推進機構) http://www.ipa.go.jp/index.html IPA/ISEC(独立行政法人情報処理推進機構セキュリティセンター) http://www.ipa.go.jp/security/index.html |
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
|
|
||||||||||||
|
||||||||||||
-
-
連載
