Q&A
あなたのいう「安全」というのはどういうことでしょうか。
きちんと定義しましょう
サイトのSSL化は完了したのですが管理パネル的なところへはBasic認証(ID,PW)でログインできるようにしています。
そこでふと思いついた疑問なのですがBasic認証は果たして安全なのでしょうか?
ご存知の方いらっしゃいましたら教えていただけるとありがたいです。
タグの「BASIC」はちょっと意味が違うので、外していただけますか。
回答3件
0
ベストアンサー
プログラムによる認証と Basic 認証の大きな違いは認証の主体となるレイヤーです。
この違いが顕著となるのは(網羅性はありませんが)以下のような場合です。
・個人の特定が必要なケース
・ロールによって分岐するケース
・操作証跡を必要とするケース
また、認証情報の管理がファイルシステムによるものか、データベースによるものかも大きな違いです。
上記 2 点がセキュリティ上問題となるかどうかは、セキュリティ要件によるところが大きいです。どのような要件が発生しているのか不明ですが、質問の記述にある範囲では、プログラムによる認証も Web サーバによる認証も特に違いは無いように思います。
追記
ちなみにですが、Basic 認証をプログラム側で実装することもあります。その場合は、ほぼ通常の認証と変わらなくなります。
投稿2019/10/20 05:14
編集2019/10/20 09:10
退会済みユーザー
総合スコア0
うーん。書けば書くほどにズレていく^^;
0
「安全です」と言い切るのはなかなか難しいですが、HTTPSと組み合わせたうえでBasic認証をお使いなのであれば、その部分については最低限の対策が取られていると感じます。
Basic認証 - Wikipedia
https://ja.wikipedia.org/wiki/Basic%E8%AA%8D%E8%A8%BC
Basic認証では、ユーザ名とパスワードの組みをコロン ":" でつなぎ、Base64でエンコードして送信する。
このため、盗聴や改竄が簡単であるという欠点を持つ
投稿2019/10/20 04:30
総合スコア2019
0
情報リテラシーと運用管理次第!
パスワードが「1文字以上、英数字のみ」というような運用管理をしていたら、"a"とか"7"なんていう簡単なパスワードが使われる可能性が高いので、相当危ない。
パスワードが「12文字以上、英字、数字、3種類以上の記号の全てを含む」というような運用管理をしていたら、それなりに安全。
安全かどうかは、Basic認証か否かではなく、どのようにIDやパスワードが管理・運用されているかによるところが大きい。
パソコンのキーボードに「IDとパスワードを書いた紙」が貼られている、といった使い方がされていたら、暗号方式がどんなに強力でも無意味ですよね。
投稿2019/10/20 03:01
総合スコア6915
あなたの回答
tips
プレビュー
