ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント(ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー)の作成、安全な取り扱い、
パスワードリセット・リンクが漏れていませんか? | POSTD
セルフサービス・パスワードリセットは、多くのWebアプリケーションで共通部分になっています。通例、パスワードリセット・リンクはユーザにEメールで送られ、そこには、何らかの方法でユーザを識別する一意のトークンが含まれています。ユーザがリンクをクリックすることによって、そのユーザがそのアカウントに関連するEメールをアクセスできることが証明され、次にユーザは二段階認証を行います。この時点で、ユーザは新しいパスワードを入力するよう求められます。 もしも、ある攻撃者がそのパスワードリセット・リンクにアクセスできたなら、その攻撃者は、そのユーザとして認証を受けて新しいパスワードを入力することができるので、そのユーザのアカウントに自由にアクセスできるようになります。多くの場合、攻撃者はユーザのEメールへのアクセスを手に入れることによってこれを行いますが、最近私は 多くのアプリケーションがうかつにもパスワ
パスワード攻撃に対抗するWebサイト側セキュリティ強化策
Webサイトのパスワード認証を狙った攻撃が大きな脅威になっています。 Tサイト(プレスリリース) goo(プレスリリース) フレッツ光メンバーズクラブ(プレスリリース) eBook Japan(プレスリリース) My JR-EAST(プレスリリース) これらの事例のうちいくつか(あるいは全て)は、別のサイトで漏洩したIDとパスワードの一覧表を用いた「パスワードリスト攻撃(後述)」であると考えられています。パスワードリスト攻撃を含めて、パスワードを狙った攻撃が成立してしまう原因は、利用者のパスワード管理に問題がある場合が多く、攻撃を受けたWebサイト側には、直接の責任はないケースが多いと考えられます。 しかしながら、 大半の利用者はパスワード管理に興味がない パスワード認証を採用している理由は、コスト上の理由、すなわちサイト側の経済的な事情 インターネットが「とても危険なもの」となるとネット
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Webアプリケーションにおけるパスワードの管理について
