脆弱なパスワードの許可
脆弱なパスワードの許可
概要
脆弱なパスワードポリシーは、短い、一般的、または予測しやすいパスワードを許可します。
影響
これにより、総当たり攻撃、認証情報リスト攻撃、辞書攻撃の成功率が高まります。
対策
十分な長さを要求し、漏えい済みパスワードを拒否し、試行回数を制限し、多要素認証をサポートします。
例
try {
String id = request.getParameter("id");
String passwd = request.getParameter("passwd");
}
catch (SQLException e){ ...... }
try {
String id = request.getParameter("id");
String passwd = request.getParameter("passwd");
if (passwd == null || "".equals(passwd))
return;
if (!passwd.matches("") && (passwd.indexOf("@!#") > 0) && (passwd.length() > 7)) {
...
} catch (SQLException e) { ...... }