ブラウザからサーバーに HTTP 基本認証の仕組みを使ってアクセスする際に用いられるパスワードは、ドミノディレクトリのユーザー文書内の「HTTPPassword」フィールドにあるパスワードと比較され、認証を受けようとしているユーザーが本人であるかを判断します。ここに保存されている内容はパスワードそのものではなく、ハッシュ値と呼ばれる不可逆関数により作り出された 32 バイトの文字列です。ログイン時に送られてくるパスワードを同じ関数を用い、結果を比較することで本人確認を行っています。
この仕組みの弱点は、ある文字列に対するハッシュ値が常に同一であることです。ある文字列とハッシュ値が一対一の関係を持っているため、例えば、辞書から単語を抽出し、@password 関数でハッシュ値の対応表を作成し、総当たりで両者を比較することでパスワード破りが行われる可能性が考えられます。
このリスクを排除するためには、基本的にドミノディレクトリにアクセスできないようにすることがポイントですが、社内ユーザーなど正当なアクセス権を持ったノーツクライアントユーザーからアクセスした場合、文書のプロパティでハッシュ値を取得することも可能です。この方法でハッシュ値が読み取られ悪用されるリスクを排除する機能があります。
Lotus Domino R4.6 からは「強固なパスワード形式」を採用し、HTTPPassword フィールドの暗号化ができるようになっています。ドミノディレクトリを開き、アクションメニューから[ディレクトリプロフィールの編集]を選択し、ドミノディレクトリ・プロファイル文書内にある[より安全なインターネットパスワードの使用]を「はい」にします。デフォルトではこの機能がオフになっています
推奨設定
|
ドミノディレクトリを開き、アクションメニューから[ディレクトリプロフィールの編集]を選択し、ドミノディレクトリ・プロファイル文書内にある[より安全なインターネットパスワードの使用]を「はい」にする。
|
その他の設定
|
ドミノディレクトリに ID ファイルを貼り付けたままにしないこと。
|
以下は、ヘルプの記載へのリンクです。
関連ページ
