「セキュリティ/実際の施策」の版間の差分
提供: 初心者エンジニアの簡易メモ
(ページの作成:「#パスは英数記号を混ぜる。 #ログイン時、パスだけ違ってもパスが違うとは出さないこと。(idはあってることになる。 #パス...」) |
(相違点なし)
|
2015年5月20日 (水) 03:08時点における最新版
- パスは英数記号を混ぜる。
- ログイン時、パスだけ違ってもパスが違うとは出さないこと。(idはあってることになる。
- パス間違いでロックアウト(3回以上間違えたら1日で蹴るみたいな感じ
- パス生成時にソルトによるハッシュと、ストレッチング(数万回暗号化処理する)を掛けておく
- 全サイトをhttpsにして、cookieにsecure属性をつける。