トップ   新規 一覧 検索 最終更新   ヘルプ   最終更新のRSS

認証に関する留意点 のバックアップ(No.1)

・パスワードについて?

E-Mailは経路外認証とはならない

NIST SP800-63-Bでは、スマートフォンを使った経路外認証が当初は非推奨となり、最終的には ”RESTRICTED” となりました。事前登録済の電話番号が物理デバイスと結びついていることを確認した上で、AuthenticatorやSMSにワンタイムパスワードを送信することは問題ありませんが、E-Mail を使った場合は、特定デバイスの所有の証明とはならないため経路外認証とは認められません。

デフォルトのIDは必ず変更する

Administrator、Admin、Adm、root、Su などの、OS、データベース、通信機器などのデフォルトのIDは、総当たり攻撃の際に使用されるため、変更可能な場合は、初期設定時に必ず変更しておく必要があります。IDを変更できれば、総当たり攻撃に対する耐性が確保できます。

開発者のIDは削除する

開発中に使用した開発者のID、テスト用のIDなど、運用に不要なIDは必ず削除してください。

Machine To Machine

機器同士の通信の場合、IDやパスワードがハードコードされるケースが散見されますが、危険です。アクセス権限が設定された外部ファイルに暗号化して保存するなど、変更したい場合にはいつでも変更できるような構成が必要です。また、デフォルトのIDのまま初期設定されると、前項同様に総当たり攻撃に対して脆弱となりますので、導入設置時には変更を強制する認証システムの実装が必要です。
PKIを使用する際は、証明書の有効期限切れのないように期限管理に留意してください。

特権ID、パスワードの保管

管理者のID、パスワードなどを保管する場合は、オフラインが原則です。サーバーや端末には保存せず、CD-ROM等の外部メディアに保存し、CD-ROMケースに封緘して鍵のかかる金庫に保管してください。紙に記録した場合も、同様に封筒に入れて封緘し鍵のかかる金庫に保管します。

ID、パスワード、センシティブ情報のハードコードの禁止

ID、パスワードやセンシティブな情報をソースコートに直接書き込まないでください。ハードコードされたID、パスワードなどはプロジェクトに参加した開発者全員が知ることとなり、運用に入った後で、パスワードが危殆化した場合、ソフトウェアをバージョンアップする必要が出ます。攻撃者がバイナリにアクセスできる場合、逆アセンブルすることでID、パスワードなどの漏洩につながります。対策として、JPCERT/CCの実装例 を参照してください。
OSSのソースを受け入れる際は、ハードコードされたID、パスワードの存在を確認し、認証ロジックを実装してください。また、ハードコードしたソースをGit Hubなどで公開しないようにしてください。
アプリケーションが使用するユーザーやシステムIDは、Service Principal Name (SPN) を使用し、一般ユーザーアカウントを使用しないでください。