Web アプリケーションなどの脆弱性を悪用して、ユーザ ID やパスワードなどの認証情報を窃取しようとする攻撃が発生しています。 ユーザ認証を伴う Web アプリケーションのサービス提供者は、パスワードをそのまま保存せず、ハッシュ値のみで保存管理することを強く推奨します。 なんらかの事故や盗難などでユーザの認証情報が漏えいした場合、パスワードを平文で保存管理していると、そのまま認証情報を悪用される可能性があります。 一方、パスワードのハッシュ値で保存管理していれば、漏えいした情報からパスワードを推測することは困難であり、不正に入手した第三者がそのまま使用することはできません。 万一に備えて、上記対策を実施するとともに、認証情報は厳格に管理してください。
参考文書(日本語)
-
独立行政法人 情報処理推進機構 セキュリティセンター
セキュア・プログラミング講座 パスワードの取扱い
http://www.ipa.go.jp/security/awareness/vendor/programming/b09_01.html
Weekly Report 2007-09-20号 に掲載