Googleのパスワード管理 13 箇条 ~ 大文字と小文字区別せず、2 段階認証採用ほか | ScanNetSecurity
2024.06.23(日)

Googleのパスワード管理 13 箇条 ~ 大文字と小文字区別せず、2 段階認証採用ほか

グーグル合同会社は5月19日、パスワード管理のベストプラクティスについて同社のブログ記事で発表した。

調査・レポート・白書・ガイドライン 調査・ホワイトペーパー
グーグル合同会社は5月19日、パスワード管理のベストプラクティスについて同社のブログ記事で発表した。

同記事では、Google Kubernetes Engine でホストしているWebサイト、Apigee 上の API、Firebase を使用するアプリ等のユーザー認証を使用するサービスの管理者を対象に、アカウント認証システムを安全かつ拡張性があり、実用的なものにするためのベストプラクティス13箇条を紹介している。

1.パスワードをハッシュ化する
・パスワードの平文保存はNG
・Argon2id や Scrypt で作成された暗号として強力な復元できないパスワードハッシュを保存する
・ユーザーがパスワードを入力した直後以外のタイミングでユーザーのパスワードを平文で生成しない

2.可能であれば、サードパーティの ID プロバイダを許可する
・サードパーティの ID プロバイダを許可すると信頼できる外部サービスを利用してユーザーの ID を認証できる(Google、Facebook、Twitter 等)

3.ユーザー ID とユーザーアカウントのコンセプトを分離する
・ユーザーアカウントと認証情報のコンセプトを分離することで、サードパーティの ID プロバイダを実装、ユーザー名の変更許可、複数 ID を単一のユーザーアカウントにリンクするプロセスが大幅に簡素化される

4.単一のユーザーアカウントに複数の ID をリンクできるようにする
・ユーザーにメールアドレス、電話番号、ユーザー名などの一般的な識別情報の入力を求めることで、そのデータがシステム内の既存のユーザーと一致する場合は、既知の ID プロバイダでも認証し、新しい ID を既存のアカウントにリンクするようユーザーに要求する

5.長いパスワードや複雑なパスワードをブロックしない
・ハッシュ化されたパスワードは、すでにサイズの小さい ASCII 文字セットになっている
・ユーザーがパスワードにどんな文字でも使用できるようにすべき

6.ユーザー名に不当なルールを課さない
・ユーザー名に対する制限が厳しいサイトは、開発者にとっては便利で手っ取り早いがユーザーを犠牲にする

7.ユーザーの ID を検証する
・ユーザーに連絡先情報の入力を求める場合は、連絡先情報を間違って入力する可能性を考慮し、できるだけ早く検証する必要がある

8.ユーザーがユーザー名を変更できるようにする
・ユーザー名を変更したいという要望を尊重するために、複数のユーザー名の使用を許可したうえでメインのユーザー名を選択できるようにする

9.ユーザーがアカウントを自分で削除できるようにする
・「閉鎖された」アカウントからデータが漏えいしてデータ侵害が発生した場合には大量の個人情報が流出する

10.セッションの長さを意識的に決定する
・サービスのセッションにしきい値を設けて、その経過後にパスワードや第 2 の要素などのユーザー検証を求めるようにする
・ユーザーセッションが期限切れになったり再認証を要求する場合は、リアルタイムでプロンプトを表示するか最後に認証されてから保存していないアクティビティを保持するメカニズムを提供する

11.2段階認証プロセスを使用する
・時間ベースのワンタイムパスワード、メール確認コード、「マジックリンク」は、ユーザーフレンドリーで比較的安全
・合理的に可能な最も安全な 2FA 認証を提供する

12.ユーザー ID の大文字と小文字を区別しない
・ユーザーはユーザー名の大文字と小文字に注意を払わず、どちらを使用したか正確に覚えていないことがある

13.安全な認証システムを構築する
・パスワード復旧の代わりとなるパスワードの再設定の実装、詳細なアカウントアクティビティのログ記録、クレデンシャル スタッフィングを防ぐためのレート制限ログイン試行、ログイン試行の失敗が多すぎる場合のアカウントのロックアウト、長期間アイドル状態であった認識されていないデバイスまたはアカウントの 2 要素認証プロセスの要求などの実装

《ScanNetSecurity》

関連記事

特集

PageTop

アクセスランキング

  1. グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

    グリコの基幹システム障害、一部商品出荷を 6 / 25 以降再開

  2. 「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

    「プレミアムバンダイ」会員情報漏えいの可能性、委託先従業員が私物ハードディスクを使用

  3. 今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

    今日もどこかで情報漏えい 第25回「2024年5月の情報漏えい」“いたずらに混乱” しているのは誰

  4. フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

    フジクラのタイ子会社に不正アクセス、国際ネットワーク経由で日本のグループ各社のサーバにも痕跡

  5. 杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

    杏林大学職員 詐欺サイト クリックしたら不正アクセス被害

  6. ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

    ケンブリッジ大学出版にサイバーセキュリティ攻撃、社内システムに不具合

  7. Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

    Mrs. GREEN APPLE 「コロンブス」MV 公開停止、歴史や文化的な背景への理解に欠ける表現含まれると判断

  8. アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

    アクセサリー取り扱い「銀時webサイト」に不正アクセス、一部ページが改ざん被害

  9. メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

    メール誤送信事故多発で悪名高いドッペルゲンガードメイン「gmai.com」はどこの誰が保有しているのか?

  10. イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

    イセトーにランサムウェア攻撃、阿波銀行・藤沢市・茅ヶ崎市にも影響

ランキングをもっと見る