ユーザー アカウント、認証、パスワード管理に関する 13 のベスト プラクティス2021 年版 | Google Cloud 公式ブログ

※この投稿は米国時間 2021 年 5 月 7 日に、Google Cloud blog に投稿されたものの抄訳です。 2021 年用に更新: この投稿には、Google のホワイトペーパー「パスワード管理のベスト プラクティス」のユーザー向けとシステム設計者向けの両方の最新情報を含む、更新されたベスト プラクティスが含まれています。 アカウント管理、認証、パスワード管理には十分な注意を払う必要があります。多くの場合、アカウント管理は開発者や製品マネージャーにとって最優先事項ではなく、盲点になりがちです。そのため、ユーザーが期待するデータ セキュリティやユーザー エクスペリエンスを提供できていないケースがよくあります。 幸い、Google Cloud には、ユーザー アカウント（ここでは、システムに対して認証を受けるすべてのユーザー、つまりお客様または内部ユーザー）の作成、安全な取り扱い、

[wata88]

仕様上は大文字小文字区別されるが大半のメールサーバが区別せず運用されている。同じRFC5321でも区別するのは推奨しないとしている。デフォルトが確か、sendmailは区別しない、postfixは区別する、とか設定次第なんで、、

[kazuau]

RFC5321で"The local-part of a mailbox MUST BE treated as case sensitive."なので「メールアドレスをすべて小文字で保存しておき」これはまずいのでは?

[zkq]

これ日本のサービスはいったい何項目クリアしてるんだろうか

[tmatsuu]

システム設計者/開発者向け。皆様ご確認ください。

[Keisuke69]

世の常識、自分の中の常識、自分はおざなりにしてたことが全部詰まってた。みんな意識できるといいね

[n-styles]

「ランダムに生成された文字列に対して辞書スキャンを実行して、ユーザー名に意図しないメッセージが埋め込まれていないか確認することをおすすめします。」自動生成されたIDに猥語が偶然入ってしまう問題対策か。

[nekoruri]

必読

[tettekete37564]

ソルトをどのように選択するかのベストプラクティスないかな

[yuyumomo999]

パスワードで記号の使用を許可してないサイトはマジかぁ…ってなる。

[grandcolline]

サービスを設計するときのチェック項目として利用していきたいなぁ

[mallowlabs]

2021年版来てた

[kita-tuba]

アーキのわかりみが深い

[sorshi]

“Unicode 正規化”

[adsty]

アカウント認証システムの開発で参考になる。

[dorje2009]

"どのような状況でも、復元可能な暗号化を使用したり、独自のハッシュ アルゴリズムを考案しようとしたりてはなりません"

[kareki11]

基本的なことのようで、全て完璧に対応されているシステムは多くないかも

[kimbelite]

ほんと？ 認証にパスワード必要だと思い込んでるやろｗ

[hasegawatomoki]

パスワードのユニコード正規化！！なるほど〜。

[yarumato]

“ユーザーはメールアドレスではありません。電話番号でもありません。一意のユーザー名でさえありません。これらの認証要素はいずれも、変更できる必要があります。”

[takezaki]

保存を強固にする話はよく出てくるけど通信経路に生PW流れていたり、ログに記録されているのをいくつも見ている=>“Argon2id や Scrypt で作成された、暗号として強力な、復元できないパスワード ハッシュを保存すべき”

[oakbow]

パスワード強度は長さを長くしたほうが良く、記号など多数の文字種を使う意義はそれほど高くないとされてるので、記号使えなくても構わないかな。でも未だに6文字以下とかある…。多要素認証以外はクリアして欲しい

[yodelx]

システム開発者各位向け。　パスワードの再設定の実装、詳細アクティビティのログ、レート制限ログイン試行、ログイン試行の失敗が多すぎる場合のロックアウト、長期間アイドル状態の 2 要素認証プロセスの要求

[at_yasu]

「ユーザー ID とユーザー アカウントのコンセプトを分離する」これするだけで楽になるよなぁとぼんやり。

[urd0401]

”クリンゴン語、絵文字、両端に空白を含むASCII アートで作成されたパスワードにしたい人がいれば、それを拒否する技術的な理由はありません"　/ まさに

[naggg]

大文字と小文字の区別はほほ〜っと

[securecat]

日本のプログラマがブクマカだけなら、ちゃんと作ってありそうなんだけど、実際にはほとんどのプログラマは非ブクマカだからな。こんな情報、見てさえもいない。

[nekonyantaro]

「パスワードを忘れたとき」をクリックすると「メールでパスワードが送られてくる」のは便利なのだが、流出リスクが常にあるということ。

[door-s-dev]

ユーザー向けとシステム設計者向けをなぜ混ぜてしまうのか。単なるリストであって読む人のことは考えていないからか

[hihi01]

ちょっとよく読みます。勉強します。

[nonsugertan]

ユーザーアカウント、認証、パスワード管理に関する知識ブラッシュアップとして拝見します。

[Panthera_uncia]

必読

[Gaju]

gajuが取れなかったのでGajuを取りました

[kazkun]

認証基盤はもう内製する時代ではない気がしなくもない。

[diveintounlimit]

何かわりと当たり前のことがつらつら書いてある感じ

[raimon49]

＞ユーザー ID の大文字と小文字を区別しない

[ducktoon]

ユーザー名を制限しないとふざけた名前を登録する人がでてきてサービスの品位が落ちるのがいや

[faifan]

『ある週にユーザー名とパスワードを使用してサービスへの認証を行なった後で、アカウントが重複して作成される可能性があることを知らずに、次の週に Google ログインを選択するユーザーがいるかもしれません。』ある