不正アクセスによるIDとパスワードの漏洩を受けて、MD5によるハッシュ化について話題になっていました。システムを作る上で、パスワードの管理や認証はどう設計すべきかを考えるために、少し整理をしてみます。もし事実誤認があれば、どしどしご指摘ください。 == 2023/8/21追記 == この記事は、ハッシュの保存の仕方一つとっても、沢山の対策方法が必要であるということをお伝えするために記載しています。そして、これから紹介する手法を取れば安全とお勧めしている訳ではないので、その点をご留意いただければと思います。攻撃手法に応じての対応策の変遷を知っていただくことで、セキュリティ対策は一度行えば安全というものではないことを知って頂くキッカケになれば幸いです。 == 追記終わり == パスワードのハッシュ化 まず最初にパスワードの保存方法です。何も加工しないで平文で保存するのは駄目というのは、だいぶ認
独立行政法人情報処理推進機構(IPA)は、経済産業省からの要請を受けて、重要情報を扱うシステムにおけるサービスの安定供給にあたって、そのシステムのオーナーである管理者が、必要な対策を策定できる「重要情報を扱うシステムの要求策定ガイド」を公開しました。 概要 通信や電力などをはじめとした重要情報を扱うシステムには、サービスの安定供給が強く求められ、非平常時でも自らの統制力を確保する「自律性」が要求されます。一方で、ビジネス環境や技術環境がめまぐるしく変化する今日では、変化への対応力など「利便性」を備えたクラウドサービスなどへの要求も高まっています。そこでIPAは、重要情報を扱うシステムの構築・調達・運用時に、管理者が「自律性」と「利便性」の双方を両立したシステムの要求仕様を策定できるようガイドを定めました。 本ガイドは管理者が環境の変化を捉え、それに伴う問題・リスクや利便性の要素を整理し、対
堺市は2015年9月7日、同市の外郭団体の職員約1000人分の個人情報がインターネット上で公開状態になり、外部に流出していたと発表した。会計室の課長補佐級職員が個人契約していたレンタルサーバーに保存したデータが流出したという。 市の説明によれば、当該職員はシステム開発のスキルを持ち、市の外郭団体から依頼を受けて短時間勤務職員の出退勤システムを作成していた。この外郭団体から提供を受け、レンタルサーバーに保存していた約1000人分の個人情報が4月から6月までの間公開状態になっており、外部に流出した。 流出データには短時間勤務職員約1000人分の氏名、性別、生年月日、住所、電話番号と、給与実績データなどが含まれる。当該職員が業務上保有していた別の外郭団体のアルバイト応募者11人分の個人情報も流出した。 「選挙管理支援システム」が発覚の発端 こうした事態が発覚する発端になったのが、6月24日に堺市
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
