会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

パスワードと認証を守る

目安学習時間 15分

課題

全問正解でレクチャー完了です。

【問題1】

パスワードの正しい保存方法はどれ?

[選択肢]

【問題2】

ハッシュ化の特徴として正しいものはどれ?

[選択肢]
会員登録すると
学習することができます。
会員登録する(無料)
登録済みの方はこちら
ログイン

学ぶ目的

平文保存は最悪の事故を生む

ユーザーのパスワードをそのままDBに保存(平文保存)してはいけません。DBが漏えいした瞬間、全ユーザーのパスワードが攻撃者の手に渡ります。多くの人はパスワードを使い回しているため、他のサービスへの不正ログインまで連鎖します。

ハッシュ化 ― 復元できない形で保存する

パスワードはハッシュ化して保存します。ハッシュ関数は「一方通行の変換」で、元に戻せません。 ソルト: ユーザーごとのランダム値を混ぜてからハッシュ化。同じパスワードでも違うハッシュになり、レインボーテーブル(変換の逆引き表)攻撃を無効化 bcryptなど専用アルゴリズムを使う。

ログインをさらに守る

多要素認証(MFA): パスワード+スマホ確認コード等。パスワードが漏れても突破されにくい ログイン試行の制限: 連続失敗でロック。総当たり攻撃(ブルートフォース)対策 パスワードポリシー: 長さ重視(12文字以上推奨)。定期変更の強制より漏えい時の即時変更

このレクチャーで学ぶこと

  • パスワードを平文保存してはいけない理由
  • ハッシュ化とソルト
  • 多要素認証とログイン保護

質問

まだ質問は投稿されていません。

質問投稿

ログイン後に質問の投稿ができます。