![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
#author("2024-07-13T20:10:49+09:00","default:k1rou","k1rou") #author("2024-07-13T20:12:32+09:00","default:k1rou","k1rou") *パスワードとは [#u4279977] -本人のみが知り得る文字列。 -[[ID]]と組み合わせて提示することで本人確認を行う。([[パスワード認証]]) -シンプルな[[秘密要素]]。 -[[記憶認証]]の一つ。 *パスワードの基本要件(ポリシー) [#g4bd242c] -文字列を一定の長さにする。 -複数の文字種を使う。(英大文字/英小文字/数字/記号) -本人のプロフィールから類推できない。(氏名/趣味/生年月日) -キーボードの配列順を使わない。 -IDと同じ文字列を使わない。 -特定の単語を使わない。 -[[leet]]を使わない。 -パスワードの再利用(以前使った文字列と同じ文字列の使用)を一定回数、一定期間使えないようにする。 *パスワードに類似するもの [#wa6faf9d] **[[PIN]](暗証番号・パスコード) [#q781a25a] -デバイスに入力するネットワークを介さないで認証で使う文字列。 **パスフレーズ [#m951f31f] -文章のような長い文字列を使う。 -パスワードとの違い --空白文字を許容 --Unicodeを許容 --複雑さより長さ **セキュリティコード [#c76a5edb] -[[2段階認証]]で[[SMS]]や[[電子メール]]で送られてくる認証で使う文字列。 -ワンタイムコード *パスワードの保存 [#se0ed26d] **認証サーバ側 [#fedd2788] -パスワードは暗号化ではなく[[ハッシュ]]で保存する。 -認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。 -ハッシュ関数は、セキュリティ上強固な方式を利用する。 -ハッシュを生成する際はsaltを使う。 **クライアント側 [#e872ed6e] -[[Webブラウザ]]にIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。 -[[Webブラウザ]]に保存したIDとパスワードを自動入力する。 -[[Credential Management API]] -[[WebAuthentication API]] **保存する際の形式 [#a9053f82] -MCF(Modular Crypt Format) 形式 --/etc/shadows でも使われてる形式 *パスワードの鍵導出関数 [#q1221d00] -[[Argon2]] -[[BCrypt]] -[[PBKDF]] -[[PBE]] *パスワードリセット [#l13e8d31] -[[ブルートフォース攻撃]]の対策をしていること。 *ワンタイムパスワード(OTP) [#n66ff5a0] -「[[ワンタイムパスワード認証]]」参照 *ガイドライン [#p36abb93] **電子認証に関するガイドライン(SP800-63) [#v710258e] -NIST -https://www.ipa.go.jp/files/000025342.pdf *セキュリティ・不正アクセス [#d1a4e7d4] *パスワードクラック [#pa2d6ff7] -「[[パスワードクラック]]」参照 -[[フィッシング]] --2段階認証([[多要素認証]])を利用して対策する。 -[[ブルートフォース攻撃]] -[[リバースブルートフォース攻撃]] -[[リスト型攻撃]] -[[リプレイ攻撃]] *パスワードレス [#p2cdc77a] -[[WebAuthn]] -[[FIDO]] *パスワードジェネレーター [#dec37eff] **OS標準 [#u7ecc81d] -macOS --キーチェーンのパスワードアシスタント **アプリ [#lf2ae213] -pwgen~ https://pwgen.sourceforge.io/ ~ https://formulae.brew.sh/formula/pwgen -sf-pwgen~ https://github.com/anders/pwgen/ ~ https://formulae.brew.sh/formula/sf-pwgen -apg~ https://github.com/jabenninghoff/apg **Webサービス [#aaa0d87e] -PASSWORD GENERATOR TOOL - LastPass~ https://www.lastpass.com/features/password-generator -パスワードジェネレーター - 1Password~ https://1password.com/jp/password-generator/ *パスワードが漏洩したことがあるか確認するサービス [#tfbbb34a] -Have I Been Pwned (HIBP)~ https://haveibeenpwned.com/ -Password Checkup (Google公式;Chrome拡張) --https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno --https://support.google.com/accounts?p=password-checkup -Firefox Monitor~ https://monitor.firefox.com/ -AmIBreached~ https://amibreached.com/ -Password leak checker - cybernews~ https://cybernews.com/password-leak-check/ *関連サイト [#tc854212] -パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 (2019/01/26)~ https://www.slideshare.net/techblogyahoo/b1-id-yjtc -パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)~ https://techblog.yahoo.co.jp/entry/2020120330052978/ -Modular Crypt Format - Passlib~ https://passlib.readthedocs.io/en/stable/modular_crypt_format.html -password checker - kaspersky~ https://password.kaspersky.com/jp/ -Password Storage Cheat Sheet - OWASP~ https://cheatsheetseries.owasp.org/cheatsheets/Password_Storage_Cheat_Sheet.html *関連用語 [#x14d88a6] -[[3Dセキュア]] -[[ID]] -[[ID管理]] -[[ISMS]] -[[PIN]] -[[OpenSSL]] -[[Vault]] -[[暗号化]] -[[クレデンシャル情報]] -[[認証]] -[[パスワード認証]] -[[パスワードマネージャ]] -[[ハッシュ]] -[[リプレイ攻撃]]
