パスワードの履歴(No.2) - ウェブトラッカー

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ]

履歴一覧
差分を表示
現在との差分を表示
ソースを表示
パスワードへ行く。
- 1 (2021-11-14 (日) 21:03:17)
- 2 (2021-11-15 (月) 09:37:19)
- 3 (2022-04-17 (日) 11:30:26)
- 4 (2022-04-24 (日) 17:04:44)
- 5 (2022-07-26 (火) 08:37:07)
- 6 (2022-09-17 (土) 10:26:00)

パスワードとは†

本人のみが知り得る文字列。
IDと組み合わせて提示することで本人確認を行う。（パスワード認証）
シンプルな秘密要素。
記憶認証の一つ。

パスワードの基本要件（ポリシー）†

文字列を一定の長さにする。
複数の文字種を使う。（英大文字/英小文字/数字/記号）
本人のプロフィールから類推できない。（氏名/趣味/生年月日）
キーボードの配列順を使わない。
IDと同じ文字列を使わない。
特定の単語を使わない。
leetを使わない。
パスワードの再利用（以前使った文字列と同じ文字列の使用）を一定回数、一定期間使えないようにする。

パスワードに類似するもの†

PIN（暗証番号・パスコード）†

デバイスに入力するネットワークを介さないで認証で使う文字列。

パスフレーズ†

文章のような長い文字列を使う。
パスワードとの違い
- 空白文字を許容
- Unicodeを許容
- 複雑さより長さ

セキュリティコード†

2段階認証でSMSや電子メールで送られてくる認証で使う文字列。
ワンタイムコード

パスワードの保存†

認証サーバ側†

パスワードは暗号化ではなくハッシュで保存する。
認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。
ハッシュ関数は、セキュリティ上強固な方式を利用する。
ハッシュを生成する際はsaltを使う。

クライアント側†

WebブラウザにIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。
Webブラウザに保存したIDとパスワードを自動入力する。
Credential Management API
WebAuthentication API

パスワードリセット†

ブルートフォース攻撃の対策をしていること。

ワンタイムパスワード（OTP）†

「ワンタイムパスワード認証」参照

ガイドライン†

電子認証に関するガイドライン（SP800-63） -NIST

セキュリティ・不正アクセス†

パスワードクラック †

パスワードレス†

関連サイト†

パスワードレス普及への取り組み／ヤフーのデータ戦略を支えるID連携 (2019/01/26)
https://www.slideshare.net/techblogyahoo/b1-id-yjtc

パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)
https://techblog.yahoo.co.jp/entry/2020120330052978/

JohnTheRipper
https://www.openwall.com/john/

hashcat
https://github.com/hashcat/

PASSWORD GENERATOR TOOL - LastPass
https://www.lastpass.com/features/password-generator

password checker - kaspersky
https://password.kaspersky.com/jp/

パスワードが漏洩したことがあるか確認するサービス†

Have I Been Pwned (HIBP)
https://haveibeenpwned.com/

Password Checkup (Google公式;Chrome拡張)
- https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
- https://support.google.com/accounts?p=password-checkup

Firefox Monitor
https://monitor.firefox.com/

AmIBreached
https://amibreached.com/

関連用語†