PR

BASIC認証パスワード 標準では8文字まで有効

スポンサーリンク

Basic認証とは 標準ではパスワード8文字まで

ID・Passwordを使用してWEBアクセス・閲覧制限できます。

 

設定するには、[.htaccess][.htpasswd]ファイルが必要になります。
名前のない拡張子だけの特殊なファイルになります。

詳細を記載した[.htaccess]
ユーザー名とハッシュ化されたパスワードを記載した[.htpasswd]を作成します。

 

Basic認証パスワードのハッシュ暗号化には種類があります

 

作成の都度ハッシュ化された文字列は変わりますが、暗号化の種類によりハッシュ化された文字数も変わります。

WEBで提供されている標準的なハッシュでは8文字までのパスワードが認識有効になり、9文字以上の文字部分は無視されて9文字目以降からは何を入力しても可になります。
結果的に8文字以内のパスワードとして使用されるようです。

これは標準的なDESを使用してハッシュ化した場合です。

 

9文字以上のパスワードを使用するには

9文字以上のパスワードを使用するには、サーバーの対応も含め暗号化ハッシュ方式を考える必要があります。

以前から多く使用されているcrypt()関数DES以外を使用してハッシュ化する必要があります。

WEBで提供しているBasic認証パスワード(ハッシュ)作成サイトが多数あり、
便利なので手軽に[.htaccess]が作成できますが9文字以上のパスワードの場合は注意が必要です。
特にエラーは出ないので分かりにくいと思います。

Basic認証 一般的なハッシュ方式

crypt()関数 標準のDESベースのハッシュ 8文字まで 他にくらべ脆弱
MD5ハッシュ 9文字以上可能
SHAハッシュ 9文字以上可能 多数の種類があります
Blowfish (bcrypt)ハッシュ 9文字以上可能 強力と言われています おススメです

標準のcrypt()関数DESハッシュ以外は、9文字以上のパスワードに対応しています。

 

 

パスワードをハッシュした [.htpasswd] によるBasic認証は、使用しているサーバーが対応している必要があります。

 

タイトルとURLをコピーしました