パスワードポリシー
パスワードセキュリティとベストプラクティスに関する当社の考え方
Appbox ではパスワードセキュリティを真剣に受け止め、お客様の認証情報に複数層の保護を実装しています。本ポリシーは、当社がパスワードをどのように扱うかを説明し、Appbox サービス向けに強力で安全なパスワードを作成するためのガイドラインを提供します。
Appbox におけるパスワード保存
Appbox は、シームレスな user experience を提供するため、industry-standard security platforms を利用しています。以下のセクションでは、当社の各システムにおけるパスワード管理方法を詳述します。
Client Area (WHMCS)
WHMCS によって動作する Appbox Client Area は、account management、service provisioning、communications、payments を処理します。このシステム内のお客様のパスワードは、パスワードセキュリティ向けに特別に設計された最新の cryptographic algorithm である Bcrypt を使用して安全に hashed されます。
Appbox Control Panel
当社 Control Panel は、Appbox services、installed applications、account settings を管理するための centralized interface を提供します。これは、modern authentication standards を備えた secure frameworks を使用して構築されています。
Control Panel Login Password
Appbox Control Panel へのアクセスに使用するパスワードは、Blowfish symmetric block cipher に基づく adaptive hash function である bcrypt を使用して保護されています。当社実装では Phalcon security component を活用し、PHP の password_hash function を strong work factors とともに使用して最適なセキュリティを確保しています。これは次を意味します。
- 各 password hash には、rainbow table attacks を防ぐための unique salt が含まれます
- hashing algorithm は brute force attempts を緩和するため、意図的に遅く設計されています
- work factor (cost) は、攻撃を計算コストの高いものにするよう設定されています
- 当社システムは、セキュリティ強化が必要な場合、Argon2i のような新しい algorithms へ upgrade できます
この industry-standard approach により、database compromise が発生した場合でもパスワード露出を防ぎます。
Application Passwords
当社 Control Panel 経由でインストールされた applications のパスワードは plaintext で保存され、お客様と Appbox support team の双方がアクセスできます。このアクセス性は、お客様が assistance を request した際に technical support を提供するために必要です。当社 support team は、お客様が公式 support channels を通じて明示的に help を request した場合にのみ applications にアクセスします。特定 application のサポートが必要な場合は、一時パスワードを設定することをおすすめします。
Third-Party Application Passwords
一部の applications は、既定機能の一部として authentication credentials や sensitive information を plaintext で保存する場合があります。この挙動は Appbox の制御外であり、applications の developers によって決定されます。Appbox 環境は、お客様だけが自身のデータにアクセスできるよう保護されており、application-level password storage limitations があってもユーザー間の isolation を提供します。
パスワードセキュリティ推奨事項
以下の password best practices に従うことで、アカウントセキュリティを強化できます。
一意のパスワードを使用する
- 異なる Web サイトやサービス間でパスワードを再利用しないでください
- 複数アカウントで同じパスワードを使用すると、重大なセキュリティリスクが生じます。1つのサービスが侵害されると、すべてのアカウントが脆弱になります
- Appbox services ごとに異なるパスワードを作成してください
強力で覚えやすいパスワードを作成する
- 少なくとも12文字以上のパスワードを目指してください
- 以下の使用を検討してください。
- 映画や本の覚えやすい引用
- 独自の phrase または expression
- 関連のない words と special characters の組み合わせ
- 以下は避けてください。
- 個人情報(誕生日、名前、initials)
- よくある words または phrases
- 単純な keyboard patterns(qwerty、12345)
- 逆順の words や単純な置換
Two-Factor Authentication を有効にする
Appbox アカウントで two-factor authentication (2FA) を有効にすることを強くおすすめします。
- 2FA は、パスワードを超える重要な second layer of security を追加します
- パスワードが侵害されても、攻撃者はアカウントへアクセスするために second factor が必要です
- account security page で 2FA を有効にできます
- Appbox は、以下を含む authentication apps の time-based tokens をサポートしています。
- Google Authenticator
- Authy
- Microsoft Authenticator
- Duo Mobile
- その他ほとんどの標準 TOTP-compatible applications
Password Manager の使用を検討する
すべてのアカウントに一意のパスワードを作成し覚えることが難しい場合は、信頼できる password manager の使用を検討してください。これらの tools は強力なパスワードを生成し、安全に保存できます。信頼できる選択肢には以下があります。
弱いパスワードに関するポリシー声明
Appbox は強力なパスワードの使用を推奨しますが、最終的にアカウント認証情報のセキュリティはお客様の責任です。弱いパスワードまたは複数サイトでのパスワード再利用によりアカウントが侵害された場合、Appbox は責任を負いません。 攻撃者は一般に、brute force または dictionary attacks を使って弱いパスワードのアカウントを侵害します。お客様のアカウントとデータを保護するため、上記のセキュリティガイドラインに従うことを強くおすすめします。