SSL脆弱性に備えたパスワード認証方法を考える(Last Updated On: 2018年8月18日)ここ数年だけでもSSLに対する攻撃方法やバグが何度も見つかっています。SSLで通信を暗号化していてもパスワード認証時のトラフィックを解読されてしまえば、パスワードが漏洩していまいます。パスワードが判ってしまえば、攻撃者は何度でも被害者のアカウントを利用できます。 脆弱性でなくても、SSLも無効化したMITM(中間者攻撃)も可能です。SSLだから安心、とは考えられません。これを何とかできないか、考えてみます。 参考: 今すぐできる、Webサイトへの2要素認証導入 覚えないパスワードは生成する物 〜 余計な文字数制限などは有害 〜 チャレンジレスポンス形式の認証 SSL通信が解読されてもパスワードを盗まれない方法といっても新しい方法ではありません。様々な認証方式で利用されている「チャレンジレスポンス」形式の認証方法を用いるだけです。チャ
