会員登録すると
学習することができます。
会員登録する(無料)
学習することができます。
登録済みの方はこちら
ログイン
学ぶ目的
平文保存は最悪の事故を生む
ユーザーのパスワードをそのままDBに保存(平文保存)してはいけません。DBが漏えいした瞬間、全ユーザーのパスワードが攻撃者の手に渡ります。多くの人はパスワードを使い回しているため、他のサービスへの不正ログインまで連鎖します。
ハッシュ化 ― 復元できない形で保存する
パスワードはハッシュ化して保存します。ハッシュ関数は「一方通行の変換」で、元に戻せません。 ソルト: ユーザーごとのランダム値を混ぜてからハッシュ化。同じパスワードでも違うハッシュになり、レインボーテーブル(変換の逆引き表)攻撃を無効化 bcryptなど専用アルゴリズムを使う。
ログインをさらに守る
多要素認証(MFA): パスワード+スマホ確認コード等。パスワードが漏れても突破されにくい ログイン試行の制限: 連続失敗でロック。総当たり攻撃(ブルートフォース)対策 パスワードポリシー: 長さ重視(12文字以上推奨)。定期変更の強制より漏えい時の即時変更
このレクチャーで学ぶこと
- パスワードを平文保存してはいけない理由
- ハッシュ化とソルト
- 多要素認証とログイン保護
質問
まだ質問は投稿されていません。
質問投稿
ログイン後に質問の投稿ができます。