- 追加された行はこの色です。
- 削除された行はこの色です。
#author("2021-09-11T11:18:25+09:00","default:k1rou","k1rou")
*パスワード [#bd37a1c1]
#author("2021-11-15T00:37:19+00:00","default:k1rou","k1rou")
*パスワードとは [#u4279977]
-本人のみが知り得る文字列。
-[[ID]]と組み合わせて提示することで本人確認を行う。([[パスワード認証]])
-シンプルな[[秘密要素]]。
-[[記憶認証]]の一つ。
**パスワードの基本要件(ポリシー) [#g4bd242c]
*パスワードの基本要件(ポリシー) [#g4bd242c]
-文字列を一定の長さにする。
-複数の文字種を使う。(英大文字/英小文字/数字/記号)
-本人のプロフィールから類推できない。(氏名/趣味/生年月日)
-キーボードの配列順を使わない。
-IDと同じ文字列を使わない。
-特定の単語を使わない。
-[[leet]]を使わない。
-パスワードの再利用(以前使った文字列と同じ文字列の使用)を一定回数、一定期間使えないようにする。
**パスワードに類似するもの [#wa6faf9d]
***[[PIN]](暗証番号・パスコード) [#q781a25a]
*パスワードに類似するもの [#wa6faf9d]
**[[PIN]](暗証番号・パスコード) [#q781a25a]
-デバイスに入力するネットワークを介さないで認証で使う文字列。
***パスフレーズ [#m951f31f]
**パスフレーズ [#m951f31f]
-文章のような長い文字列を使う。
-パスワードとの違い
--空白文字を許容
--Unicodeを許容
--複雑さより長さ
***セキュリティコード [#c76a5edb]
**セキュリティコード [#c76a5edb]
-[[2段階認証]]で[[SMS]]や[[電子メール]]で送られてくる認証で使う文字列。
-ワンタイムコード
**パスワードの保存 [#se0ed26d]
***認証サーバ側 [#fedd2788]
*パスワードの保存 [#se0ed26d]
**認証サーバ側 [#fedd2788]
-パスワードは暗号化ではなくハッシュで保存する。
-認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。
-ハッシュ関数は、セキュリティ上強固な方式を利用する。
-ハッシュを生成する際はsaltを使う。
***クライアント側 [#e872ed6e]
**クライアント側 [#e872ed6e]
-[[Webブラウザ]]にIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。
-[[Webブラウザ]]に保存したIDとパスワードを自動入力する。
-[[Credential Management API]]
-[[WebAuthentication API]]
**パスワードリセット [#l13e8d31]
*パスワードリセット [#l13e8d31]
-[[ブルートフォース攻撃]]の対策をしていること。
**ワンタイムパスワード(OTP) [#n66ff5a0]
*ワンタイムパスワード(OTP) [#n66ff5a0]
-「[[ワンタイムパスワード認証]]」参照
**ガイドライン [#p36abb93]
*ガイドライン [#p36abb93]
-電子認証に関するガイドライン(SP800-63) -NIST
**セキュリティ・不正アクセス [#d1a4e7d4]
**[[パスワードクラック]] [#pa2d6ff7]
*セキュリティ・不正アクセス [#d1a4e7d4]
*[[パスワードクラック]] [#pa2d6ff7]
-[[フィッシング]]
--2段階認証([[多要素認証]])を利用して対策する。
-[[ブルートフォース攻撃]]
-[[リバースブルートフォース攻撃]]
-[[リスト型攻撃]]
-[[リプレイ攻撃]]
**パスワードレス [#p2cdc77a]
*パスワードレス [#p2cdc77a]
-[[WebAuthn]]
-[[FIDO]]
**関連サイト [#tc854212]
*関連サイト [#tc854212]
-パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 (2019/01/26)~
https://www.slideshare.net/techblogyahoo/b1-id-yjtc
-パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)~
https://techblog.yahoo.co.jp/entry/2020120330052978/
-JohnTheRipper~
https://www.openwall.com/john/
-hashcat~
https://github.com/hashcat/
-PASSWORD GENERATOR TOOL - LastPass~
https://www.lastpass.com/features/password-generator
-password checker - kaspersky~
https://password.kaspersky.com/jp/
***パスワードが漏洩したことがあるか確認するサービス [#tfbbb34a]
**パスワードが漏洩したことがあるか確認するサービス [#tfbbb34a]
-Have I Been Pwned (HIBP)~
https://haveibeenpwned.com/
-Password Checkup (Google公式;Chrome拡張)
--https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
--https://support.google.com/accounts?p=password-checkup
-Firefox Monitor~
https://monitor.firefox.com/
-AmIBreached~
https://amibreached.com/
**関連用語 [#x14d88a6]
*関連用語 [#x14d88a6]
-[[3Dセキュア]]
-[[Argon2]]
-[[BCrypt]]
-[[ID]]
-[[ID管理]]
-[[ISMS]]
-[[PBE]] -パスワードを元にした暗号
-[[PIN]]
-[[Vault]]
-[[暗号化]]
-[[クレデンシャル情報]]
-[[認証]]
-[[パスワード認証]]
-[[パスワードマネージャ]]
-[[ハッシュ]]
-[[リプレイ攻撃]]
バックアップ