Top/パスワード

パスワード の変更点

#author("2022-09-17T10:24:46+09:00","default:k1rou","k1rou")
#author("2022-09-17T10:26:00+09:00","default:k1rou","k1rou")
*パスワードとは [#u4279977]
-本人のみが知り得る文字列。
-[[ID]]と組み合わせて提示することで本人確認を行う。([[パスワード認証]])
-シンプルな[[秘密要素]]。
-[[記憶認証]]の一つ。

*パスワードの基本要件(ポリシー) [#g4bd242c]
-文字列を一定の長さにする。
-複数の文字種を使う。(英大文字/英小文字/数字/記号)
-本人のプロフィールから類推できない。(氏名/趣味/生年月日)
-キーボードの配列順を使わない。
-IDと同じ文字列を使わない。
-特定の単語を使わない。
-[[leet]]を使わない。
-パスワードの再利用(以前使った文字列と同じ文字列の使用)を一定回数、一定期間使えないようにする。

*パスワードに類似するもの [#wa6faf9d]
**[[PIN]](暗証番号・パスコード) [#q781a25a]
-デバイスに入力するネットワークを介さないで認証で使う文字列。

**パスフレーズ [#m951f31f]
-文章のような長い文字列を使う。
-パスワードとの違い
--空白文字を許容
--Unicodeを許容
--複雑さより長さ

**セキュリティコード [#c76a5edb]
-[[2段階認証]]で[[SMS]]や[[電子メール]]で送られてくる認証で使う文字列。
-ワンタイムコード

*パスワードの保存 [#se0ed26d]
**認証サーバ側 [#fedd2788]
-パスワードは暗号化ではなくハッシュで保存する。
-認証の際に提示されたパスワードをハッシュ化し、保存されているハッシュ化されているパスアードと照合する。
-ハッシュ関数は、セキュリティ上強固な方式を利用する。
-ハッシュを生成する際はsaltを使う。

**クライアント側 [#e872ed6e]
-[[Webブラウザ]]にIDとパスワードをセットで保存する。ブラウザのパスワード管理機能を使う。
-[[Webブラウザ]]に保存したIDとパスワードを自動入力する。
-[[Credential Management API]]
-[[WebAuthentication API]]

*パスワードの鍵導出関数 [#q1221d00]
-[[Argon2]]
-[[BCrypt]]
-[[PBKDF]]
-[[PBE]]

*パスワードリセット [#l13e8d31]
-[[ブルートフォース攻撃]]の対策をしていること。

*ワンタイムパスワード(OTP) [#n66ff5a0]
-「[[ワンタイムパスワード認証]]」参照

*ガイドライン [#p36abb93]
**電子認証に関するガイドライン(SP800-63) [#v710258e]
-NIST
-https://www.ipa.go.jp/files/000025342.pdf

*セキュリティ・不正アクセス [#d1a4e7d4]

*パスワードクラック [#pa2d6ff7]
-「[[パスワードクラック]]」参照
-[[フィッシング]]
--2段階認証([[多要素認証]])を利用して対策する。
-[[ブルートフォース攻撃]]
-[[リバースブルートフォース攻撃]]
-[[リスト型攻撃]]
-[[リプレイ攻撃]]

*パスワードレス [#p2cdc77a]
-[[WebAuthn]]
-[[FIDO]]

*パスワードジェネレーター [#dec37eff]
**OS標準 [#u7ecc81d]
-macOS
--キーチェーンのパスワードアシスタント

**アプリ [#lf2ae213]
-pwgen~
https://pwgen.sourceforge.io/ ~
https://formulae.brew.sh/formula/pwgen

-sf-pwgen~
https://github.com/anders/pwgen/ ~
https://formulae.brew.sh/formula/sf-pwgen

-apg~
https://github.com/jabenninghoff/apg

**Webサービス [#aaa0d87e]
-PASSWORD GENERATOR TOOL - LastPass~
https://www.lastpass.com/features/password-generator

-パスワードジェネレーター - 1Password~
https://1password.com/jp/password-generator/

*関連サイト [#tc854212]
-パスワードレス普及への取り組み/ヤフーのデータ戦略を支えるID連携 (2019/01/26)~
https://www.slideshare.net/techblogyahoo/b1-id-yjtc

-パスワードレス認証のアカウントリカバリーの必要がない戦略とは (2020/12/3)~
https://techblog.yahoo.co.jp/entry/2020120330052978/

-JohnTheRipper~
https://www.openwall.com/john/

-hashcat~
https://github.com/hashcat/

-password checker - kaspersky~
https://password.kaspersky.com/jp/

**パスワードが漏洩したことがあるか確認するサービス [#tfbbb34a]
-Have I Been Pwned (HIBP)~
https://haveibeenpwned.com/

-Password Checkup (Google公式;Chrome拡張)
--https://chrome.google.com/webstore/detail/password-checkup/pncabnpcffmalkkjpajodfhijclecjno
--https://support.google.com/accounts?p=password-checkup

-Firefox Monitor~
https://monitor.firefox.com/

-AmIBreached~
https://amibreached.com/

-Password leak checker - cybernews~
https://cybernews.com/password-leak-check/

*関連用語 [#x14d88a6]
-[[3Dセキュア]]
-[[ID]]
-[[ID管理]]
-[[ISMS]]
-[[PIN]]
-[[Vault]]
-[[暗号化]]
-[[クレデンシャル情報]]
-[[認証]]
-[[パスワード認証]]
-[[パスワードマネージャ]]
-[[ハッシュ]]
-[[リプレイ攻撃]]