パスワード のバックアップ(No.4)
- バックアップ一覧
- 差分 を表示
- 現在との差分 を表示
- ソース を表示
- パスワード へ行く。
- 1 (2021-11-14 (日) 21:03:17)
- 2 (2021-11-15 (月) 09:37:19)
- 3 (2022-04-17 (日) 11:30:26)
- 4 (2022-04-24 (日) 17:04:44)
- 5 (2022-07-26 (火) 08:37:07)
パスワードとは †
パスワードの基本要件(ポリシー) †
- 文字列を一定の長さにする。
- 複数の文字種を使う。(英大文字/英小文字/数字/記号)
- 本人のプロフィールから類推できない。(氏名/趣味/生年月日)
- キーボードの配列順を使わない。
- IDと同じ文字列を使わない。
- 特定の単語を使わない。
- leetを使わない。
- パスワードの再利用(以前使った文字列と同じ文字列の使用)を一定回数、一定期間使えないようにする。
パスワードに類似するもの †
PIN(暗証番号・パスコード) †
- デバイスに入力するネットワークを介さないで認証で使う文字列。
パスフレーズ †
- 文章のような長い文字列を使う。
- パスワードとの違い
- 空白文字を許容
- Unicodeを許容
- 複雑さより長さ
セキュリティコード †
パスワードの保存 †
認証サーバ側 †
- パスワードは暗号化ではなくハッシュで保存する。
- 認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。
- ハッシュ関数は、セキュリティ上強固な方式を利用する。
- ハッシュを生成する際はsaltを使う。
クライアント側 †
- WebブラウザにIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。
- Webブラウザに保存したIDとパスワードを自動入力する。
- Credential Management API
- WebAuthentication API
パスワードの鍵導出関数 †
パスワードリセット †
- ブルートフォース攻撃の対策をしていること。
ワンタイムパスワード(OTP) †
- 「ワンタイムパスワード認証」参照
ガイドライン †
- 電子認証に関するガイドライン(SP800-63) -NIST
セキュリティ・不正アクセス †
パスワードクラック †
- フィッシング
- 2段階認証(多要素認証)を利用して対策する。
- ブルートフォース攻撃
- リバースブルートフォース攻撃
- リスト型攻撃
- リプレイ攻撃
パスワードレス †
パスワードジェネレーター †
OS標準 †
- macOS
- キーチェーンのパスワードアシスタント
アプリ †
Webサービス †
- PASSWORD GENERATOR TOOL - LastPass
https://www.lastpass.com/features/password-generator
- パスワードジェネレーター - 1Password
https://1password.com/jp/password-generator/
関連サイト †
- パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 (2019/01/26)
https://www.slideshare.net/techblogyahoo/b1-id-yjtc
- パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)
https://techblog.yahoo.co.jp/entry/2020120330052978/
- hashcat
https://github.com/hashcat/
- password checker - kaspersky
https://password.kaspersky.com/jp/
パスワードが漏洩したことがあるか確認するサービス †
- Have I Been Pwned (HIBP)
https://haveibeenpwned.com/
- Password Checkup (Google公式;Chrome拡張)
- Firefox Monitor
https://monitor.firefox.com/
- AmIBreached
https://amibreached.com/