- PR -

パスワードの使用回数制限

1
投稿者投稿内容
sato
会議室デビュー日: 2002/07/02
投稿数: 6
投稿日時: 2002-09-12 14:48
はじめまして、satoと申します。

パスワードの使用回数制限を設定したいのですが、
方法も、ソフトも見つけることができません。

具体的には、Webにアクセスする際にパスワード認証が1度のみ可能とし、
その後、その回数制限を解除するといったものです(パスワードは同じ物です)。
どんな情報でもいいので是非、お知恵を貸していただければと思います。
よろしくお願いします。
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2002-09-12 15:03
自分で組んでもたかがしれてるんでは。

DB に初回 passwd と初回フラグを立てといて、未認証/初回アクセスならパスワード変更ページに飛ばして、パスワード変更されたら初回フラグを切って passwd を保存。未認証/初回アクセスでない(初回フラグが切れている)ならふつうに認証、ってだけなので。

パスワード変更機能があるなら、どうせ BASIC 認証とかは使いづらいですし。
sato
会議室デビュー日: 2002/07/02
投稿数: 6
投稿日時: 2002-09-12 16:19
しょむさん、早速のアドバイスありがとうございます。
確かにおっしゃる通り、思ったよりも簡単に組めそうですね。

自分でもいろいろと調査してみたのですが、
「Radius」というキーワードが気になっています(勉強不足ですみません)。
これをうまく使えたら・・・とか、勝手に考えています。

#もしかしたら見当違いかも・・・
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2002-09-12 22:10
そこまでわかってれば、「radius パスワード」で検索かければナニモノかわかりますよ。

http://biz.ascii24.com/biz/sp/article/2000/08/08/
http://www.atmarkit.co.jp/fsys/special/005wireless_abc/wireless_abc03.html

とか。Radius + OTP(ワンタイムパスワード)なんやらのお話もちょこちょこひっかかってるようですが、HTTP 上の認証とは違う話ですからねぇ。

[ メッセージ編集済み 編集者: しょむ 編集日時 2002-09-12 22:12 ]
sato
会議室デビュー日: 2002/07/02
投稿数: 6
投稿日時: 2002-09-13 10:31
しょむさん、ありがとうございます。
なるほど・・・RADIUSとはクライアントサーバモデルのダイヤルアップ接続ユーザ認証システムのことなのですね。
「RADIUSサーバに関する技術情報(http://www.dtc.co.jp/Radius/)」
を参考にしてみました。

パスワードに使用回数制限をかけ、同じパスワードを使いまわす運用は良くないですよね?
(自分でやりたいと言っておいてなんですが・・・)
やはりワンタイムパスワードを使用して、アカウント(ユーザID)でログイン回数を管理したりとかのほうがいいのでしょうか・・・それかパスワードに有効期限をつけるとか・・・

#パスワードに使用回数制限をつけるメリットが分からなくなってきました・・・
しょむ
ぬし
会議室デビュー日: 2001/09/06
投稿数: 430
投稿日時: 2002-09-13 14:36
> パスワードに使用回数制限をかけ、同じパスワードを使いまわす運用は良くないですよね?
> (自分でやりたいと言っておいてなんですが・・・)
> やはりワンタイムパスワードを使用して、アカウント(ユーザID)でログイン回数を管理したりとかのほうがいいのでしょうか・・・それかパスワードに有効期限をつけるとか・・・

えーと。。Webアプリケーションの話なんですよね。。

HTTP による認証方法(Basic/Digest)はそれほど強力ではありませんから、ワンタイムパスワード云々とはまったく別次元の話ですね。自前でやるとすれば、やはりアプリそのものにそういう仕組みを作り込むことになるかと。

で、必要かといわれれば、そりゃ要件によります。OTP にしろ、有効期限にしろ、有効回数にしろ、セキュアレベルを上げるとユーザの利便性は損なわれますから。
Ultra5
会議室デビュー日: 2001/09/03
投稿数: 5
投稿日時: 2002-09-13 16:10

Webアプリだけでしたら、SSO製品を使ってみるのも手かもしれません。
アプリケーション側で認証・認可部分を実装しなくてもよくなるので、
Webアプリサーバーが沢山ある状況ならメリットが大きそうです。
認証方式も様々対応してるものが多いので、状況によって選択も可能に
なるかと思います。


sato
会議室デビュー日: 2002/07/02
投稿数: 6
投稿日時: 2002-09-17 09:53
しょむさん、Ultra5さん、どうもありがとうございます。
お二人のご意見、大変参考になりました。
もう少し自分の中で調査(&勉強)が必要なようです。

#あと要件ももっと深く考えないと・・・

また何かありましたらお知恵を頂戴したいと思いますので
その時は宜しくお願いします。
1

スキルアップ/キャリアアップ(JOB@IT)