5.1 認証

認証は、めんどう。正直あまり作りたくない。
認証に必要な機能って、認証だけじゃなくて、いろいろ必要になる。最低でもこれくらい。

• ログイン
• アカウントロック
• パスワード保存
• パスワード再発行
• ログアウト

これらを正しく実装するのは大変。

• ログインできないと認証機能ではない。
• アカウントロックできないと、ブルートフォース攻撃で不正にログインされる可能性が高まる。
• パスワードの保存にはソルトとストレッチングが必須。
• パスワードの再発行(パスワードの変更)は、次回の部分で解説されているので割愛。
• ログアウトではちゃんとセッションを破棄しなくてはならない。

総当り攻撃もいろいろあって、こんな感じ。

• 辞書攻撃
• ジョーアカウント探索(IDとパスワードが同じアカウント)
• 逆総当たり攻撃(パスワードを固定して、IDを変えてアタック)
• 変形総当たり攻撃への対策

パスワードは通常はハッシュ化されて格納されている。平文で入っているのは論外。
単純にハッシュ化されているだけでは、総当たりで解析されてしまう可能性が高いので、ソルトやストレッチングを行う。ソルトはパスワードに文字列を追加してからハッシュ化すること。ストレッチングはハッシュ化を複数回繰り返すこと。ソルトとストレッチングは実装が簡単で非常に効果的なので、パスワードを保存する場合には必ず実施したい。

自動ログインについては、難しいからちゃんと本文を読みましょう。

レインボーテーブルについては、いまひとつ理解しきれていない。レインボーテーブル自体は知っている、仕組みもなんとなくわかった。レインボーテーブル - Wikipedia も読んだ。
でもレインボーテーブル自体の実装と、検索方法がいまひとつ理解しきれていない。特定のハッシュが、どうやって見つかるのかがわからない。特に還元関数が実際にはどのような関数なのか、ぴんとこない。ハッシュ関数はなんとなくわかるんだけど。
このあたりは id:Kango が調べてくれるので、楽しみに待つ。