# 2020/09/18 upper layer progress ## 徳丸本 ### 進捗 第五章終了 ## 概要 - ログイン機能 - パスワード認証を狙った攻撃への対策 - パスワードの保存方法 - 自動ログイン - エラーメッセージの要件 - アカウント管理 - 認可 - ログ出力 ### パスワード認証を狙った攻撃への対策 ユーザを変えずにパスワードを変えて攻撃する方法や その逆の手法など攻撃手法は多岐にわたる。 その対策として、二段階認証の実装やログイン失敗率の監視などがある。 ### パスワードの保存方法 ハッシュ関数を用いて、DB上にパスワードを補完する。 しかしながらmd5 sha1などの関数はオフラインブルートフォース攻撃やレインボーテーブルによって突破されるため危険である。 また独自のハッシュ関数を利用しても、パスワード辞書が作られる可能性がある。 その対策として、ソルトやストレッチングがある。 ### 自動ログイン 利便性のために、セッション期限を延ばすとデメリットもある。その影響としてxssやcsrfなどの受動的リスクがある。 そのため重要情報を扱う前は、パスワードの再認証を行う。 ### エラーメッセージの要件 ログインする際には、IDもしくはパスワードの入力を間違えることがある。 そこでどちらを間違えたかを適切に表示することがよくないとされる。 表示される場合には、攻撃者が総当たり攻撃をする際にIDを絞ることが可能になる。 ## アカウント管理 パスワードリセットを行う場合には、パスワードの再入力を行う必要がある。ない場合受動的攻撃によってパスワードの変更が可能となってしまう。 ## 認可 認証された利用者以外は、ほかの利用者の認証が必要なページに対してアクセスできないように適切にプログラムを行う。 非表示だけでは不十分となる。 # 次回の活動 月例報告会の資料作り