SNSのセキュリティに関する問題
【H27秋AP午後問1】
1.SNSサイトへの不正ログイン
ログインを試みるアクセスあり。パスワードは氏名と生年月日を組み合わせたものだった
⇒ 『類推攻撃』
⇒ 『パスワードリスト攻撃』に備え、他のサービスについても同一のパスワードを使用している場合は変更してもらう
2.不正ログインの足がかりとなった情報
会員登録(アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録)のうち、
⇒ プロフィール情報、ニックネーム、アカウント名
3.Cookieによる認証は何を認証するものか
⇒ Webブラウザ
4.不正ログイン対策
悪意を持った第三者がSNSサイトにログインできないように、アカウント名とパスワードによる認証に加え、Cookieによる認証を追加する。
- ユーザ(Webブラウザ)にて会員登録(アカウント名、パスワード、電子メールアドレス、ニックネーム、プロフィール情報を登録)する。
- Cookie発行機能のURLが記載された電子メールがユーザに送信される(1時間のみ有効)。
- ユーザはメールソフトでメールを受信、メール内のURLからCookie発行機能にWebブラウザを用いてアクセスする(会員情報として入力された電子メールアドレスの有効性を確認できる)。
- ユーザがアカウント名とパスワードを入力して認証を完了すると、ログイン用Cookieが発行される(半年間有効。ログインするたびに有効期間が半年更新される)。
- ログインする時はアカウント名、パスワード、ログイン用Cookieがログイン機能に送信される。
- ログイン機能では送信されたログイン用Cookieがその会員に発行されたログイン用Cookieか確認し、異なる場合はログインを拒否する。
- 通信は暗号化し、悪意を持った第三者が盗聴できないようにする。