パスワード漏洩検知
これらの資料や推奨事項は、法的、プライバシー、セキュリティ、コンプライアンス、ビジネス上の助言を意味するものではありません。これらの資料は一般的な情報提供のみを目的としており、セキュリティ、プライバシーやや法律の最新動向、それらに関連する問題をすべて反映していない場合があります。お客様にはご自身の弁護士その他の専門アドバイザーから法律、セキュリティ、プライバシー、コンプライアンス、またはビジネス上のアドバイスを受ける責任があり、ここに記載されている推奨事項に依存すべきではありません。Oktaは、これらの資料に記載されている推奨事項の実装に起因する損失または損害について、責任を負わないものとします。Oktaでは、これらの資料に記載されている内容に関して、いかなる表明、保証、その他の確実性の保証も行いません。Oktaのお客様に対する契約上の保証については、okta.com/agreementsをご覧ください。
パスワード漏洩検知は、盗まれた資格情報を使って悪意のある行為者がサインアップやログインすることからアプリケーションを保護します。Auth0ではユーザーの通知と、潜在的に危険な状態にあるアカウントのブロックを両方行うことができます。
Auth0は、主なサードパーティーサイトで発生した大規模なセキュリティ侵害を追跡します。ユーザーの資格情報が漏洩の一部であったことを特定すると、パスワード漏洩検知のセキュリティ機能がトリガーされます。その際に、Auth0は次の対処を行うことができます。
盗まれた資格情報で新しいユーザーがサインアップするのをブロックする。ユーザー名とパスワードの組み合わせが完全にブロックされます。
盗まれた資格情報でのログインをすべてブロックする。アカウントを完全にブロックし、悪意のある行為者がアプリケーションにアクセスするのを防ぎます。ユーザーはパスワードを変更するまでログインできません。
ログイン試行があったときにユーザーにメールを送信する。潜在的に危険な状態にあることをユーザーにメールで通知し、早急にパスワードを変更するよう指示します。ユーザーに送信するメッセージはカスタマイズできます。詳細については、「ブロックされたアカウントのメール通知をカスタマイズする」をお読みください
Credential Guardで侵害をより速く検出する
パスワード漏洩検知は、一般に公開されている漏洩や侵害のデータを利用しています。Credential GuardはAuth0の追加サービスです。パスワード漏洩検知に追加すると、漏洩や侵害を検査して、より速く侵害された資格情報を通知することができます。
| 侵害されたパスワードの保護 | Credential Guard | |
|---|---|---|
| 含まれるプラン | B2B/B2Cのプロフェッショナルとエンタープライズ | エンタープライズプランの攻撃防御アドオンの一部 |
| データ収集方法 | Webスキャナ―とスクレイパーが、公開済みのセキュリティ侵害でユーザー資格情報を検索する | セキュリティ専門チームが犯罪者のコミュニティに入り込み、本来なら入手できない侵害データへのアクセスを可能にする |
| 一般的な検出時間 | 最大7~13か月 | 12~36時間 |
| 対応範囲 | 英語のみ | 200以上の国と領域 |
Auth0との契約にCredential Guardを追加するには、こちらの連絡先までお問い合わせください。
パスワード漏洩検知を構成する
有効にすると、検知方法、対処のシナリオや通知など、パスワード漏洩検知の設定をカスタマイズすることができます。
[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]に移動し、[Breached Password Detection(パスワード漏洩検知)]を選択します。
パスワード漏洩検知をオンにするには、ページの右上隅にあるスイッチを有効にします。
応答の設定をまったく有効にせずに攻撃防御機能を有効にすると、モニタリングモードが作動し、関連イベントがテナントログにのみ記録されます。詳細については、「攻撃防御のログイベントを表示する」をお読みください。
リスク評価用のテナントログを有効にするトグルが表示されない場合は、プランのアップグレードが必要な可能性があります。
検知方法を構成する
契約プランに含まれている機能を基に、侵害された資格情報の特定に使用する検知方法を設定することができます。
[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]に移動し、[Breached Password Detection(パスワード漏洩検知)]を選択します。
[Detection(検知)]セクションで、[Breached Password Detection Method(パスワード漏洩検知方法)]を見つけます。
Auth0との契約にCredential Guardが含まれている場合は、[As soon as possible based on data received from the dark web, with Credential Guard(ダークウェブから受け取ったデータを基に、Credential Guardを用いてできる限り早急に]を選択します。
含まれていない場合は、[When breach data is published(漏洩データが公開された場合)]を選択したままにしておきます。
[Save(保存)]を選択して、変更内容を適用します。
対処のシナリオを構成する
ユーザーが侵害された資格情報を使う可能性のある異なる状況について、Auth0の対処を構成することができます。
[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]に移動し、[Breached Password Detection(パスワード漏洩検知)]を選択します。
[Response (応答)]セクションを見つけます。
[Block compromised credentials for new accounts(侵害された資格情報を新しいアカウントでブロックする)]を有効にして、ユーザーが侵害された資格情報でサインアップすることを防ぎます。
[Block compromised user accounts(侵害されたユーザーアカウントをブロックする)]を有効にして、ユーザーが侵害された資格情報でログインすることを防ぎます。
クラシックログインエクスペリエンスで当社のユーザー認証用UIウィジェット、ロックを使用している場合、新しいアカウントを対象に侵害されたパスワードを検出するには、11.33.3以降のバージョンに更新する必要があります。ロックの詳細については、ロックライブラリーに移動してください。Auth0 SDKを使用している場合、新しいアカウントを対象に侵害されたパスワードを検出するには、最新バージョンに更新する必要があります。
通知を構成する
侵害された資格情報の使用について、Auth0がユーザーと管理者に通知する方法を設定することができます。
[Dashboard]>[Security(セキュリティ)]>[Attack Protection(攻撃防御)]に移動し、[Breached Password Detection(パスワード漏洩検知)]を選択します。
[Notifications(通知)]セクションを見つけます。
[Send notifications to users with compromised credentials(侵害された資格情報についてユーザーに通知する)]を有効にして、Auth0が資格情報侵害の可能性を検出すると、ユーザーにメールが送信されるようにします。
[Compromised user accounts(侵害されたユーザーアカウント)]を有効にして、侵害された資格情報でユーザーがサインアップすると、管理者にメールが送信されるようにします。
[Compromised user accounts(侵害されたユーザーアカウント)]を有効にして、侵害された資格情報でユーザーがログインすると、管理者にメールが送信されるようにします。
通知の頻度を選びます。[Immediately(即時)]、[Daily(毎日)]、[Weekly(毎週)]、[Monthly(毎月)]から1つを選択します。
[Daily(毎日)]、[Weekly(毎週)]、または[Montyly(毎月)]を選択すると、アプリケーションに対する侵害の数が通知に含まれます。[Immediate(即時)]を選択すると、アプリケーションに対して侵害を試みたユーザーアカウントが通知に含まれます。ログの出力は1時間につき1回です。
[Save(保存)]を選択します。
ユーザーへのメール通知をカスタマイズする
侵害された資格情報がログインに使われてたときに、Auth0がユーザーに送信する通知を構成することができます。
[Dashboard]>[Branding(ブランディング)]>[Email Templates(メールテンプレート)]に移動します。
[Template(テンプレート)]ドロップダウンメニューで、[Password Breach Alert(パスワード漏洩アラート)]を選択します。
それに合わせてテンプレートを更新します。使用可能な共通変数を使って、メッセージをカスタマイズすることができます。
検知の構成を確認する
構成を確認するには、Auth0提供の侵害されたパスワードを使ってサインアップやログインのフローをテストすることができます。
「AUTH0-TEST-」で始まるパスワードは、侵害されたパスワードの検出をテスト目的でトリガーします。
サインアップフロー
Auth0が侵害されたパスワードを検出したときのサインアップエクスペリエンスを確認します。
サインアップフローに従い、侵害テストパスワード(
Paaf213XXYYZZ、Paat739!!WWXXYYZZ)またはAUTH0-TEST-で始まる任意のパスワードを使って、新しいアカウントの登録を試みます。[Block compromised credentials for new accounts(侵害された資格情報を新しいアカウントでブロックする)]が有効になっていると、エラーメッセージを受け取って、侵害されたパスワードの使用が阻止されます。
ログを
種類signup_pwd_leakで検索します。「」で、Auth0によるサインアップのブロックを確認します。
ログインフロー
Auth0が侵害されたパスワードを検出したときのログインエクスペリエンスを確認します。
[Dashboard] >[User Management(ユーザー管理)]>[User(ユーザー)]でテストユーザーを作成し、テスト用の侵害されたパスワード(
Paaf213XXYYZZ、Paat739!!WWXXYYZZ)またはAUTH0-TEST-で始まる任意のパスワードを割り当てます。ログインフローに従い、割り当てた識別子とパスワードを送信します。
[Block compromised user accounts(侵害されたユーザーアカウントをブロックする)]が有効になっていると、ユーザーがエラーメッセージを受け取って、ログインできなくなり、パスワードをリセットするように促されます。
ログを
種類pwd_leakで検索します。「」で、Auth0によるログインのブロックを確認します。[Dashboard]> [User Management(ユーザー管理)]>[User(ユーザー)]に移動して、テストユーザーを削除します。