Basic認証とは

目次

Basic認証とは

Basic認証とは、ウェブサイトで広く利用されている認証システムの1つです。

正しいユーザー名とパスワードを入力しないとアクセスできないウェブページを作成するために利用されます。

Google ChromeでBasic認証がかけられたウェブページにアクセスした例。

Basic認証の適用範囲

Basic認証は通常、ウェブサイト全体もしくは、サイト内の特定のディレクトリ(フォルダ)に対して適用されます。

例えば

https://www.example.ccom/

全体に適用させるか、あるいは、

https://www.example.ccom/members/

のようなディレクトリに適用させます。

https://www.example.ccom/index.html にはBasic認証を適用させず、
https://www.example.ccom/member.html にはBasic認証を適用させる、

といったことは、通常できません。

※phpなどを組み合わせれば可能ですが、本稿では割愛します。

Basic認証の設定方法1(サーバーの管理画面で設定する)

ほとんどのレンタルサーバーでは、サーバーの管理画面で、GUIによりBasic認証を設定することができます。

具体的な方法は、サーバー業者のヘルプを確認するか、サポートにご相談ください。

ファイルマネージャーでアクセス制限をする – さくらのサポート情報

https://help.sakura.ad.jp/360000337782/

アクセス制限の設定 / サーバー・プログラム / マニュアル – ロリポップ!レンタルサーバー

https://lolipop.jp/manual/user/acl/

アクセス制限(BASIC認証) | レンタルサーバーならエックスサーバー

https://www.xserver.ne.jp/manual/man_server_limit.php

コンテンツへのアクセスを制限する | Plesk Obsidian documentation

https://docs.plesk.com/ja-JP/obsidian/administrator-guide/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%82%A4%E3%83%88%E7%AE%A1%E7%90%86/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%82%A4%E3%83%88%E3%81%A8%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3/%E3%82%B3%E3%83%B3%E3%83%86%E3%83%B3%E3%83%84%E3%81%B8%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B.65152/

Basic認証の設定方法2(.htaccessを利用する)

※「.htaccessとは」の記事も合わせてご参照ください。

.htaccessを利用してBasic認証を設定することも可能です。

ほとんどの場合、サーバー管理画面での設定するよりのメリットはありませんので、

本稿では簡単に解説します。

1.   .htpasswdファイルを作成する。

ウェブ領域内(Basic認証と適用するディレクトリでも、その外でもかまいません)に、”.htpasswd”というファイルを設置し、こちらにユーザー名とハッシュ化したパスワード情報と”:”で区切ったものを記録します。改行で複数ユーザーを設定することも可能です。

.htpasswdの例:
mennbaer1:3rXum6uiFMcF6
mennbaer2:MCdWUqTg4mqUw

.htpasswdのためのパスワードのハッシュ化には、様々なサービスがあります。

※弊社としてこれらのサービスの安全性を保証するものではありません。該当サービスを利用することにより、いかなる責任も弊社は負いかねますので、ご了承の上ご利用ください。

htpasswdファイル生成(作成)

https://www.luft.co.jp/cgi/htpasswd.php

.htpasswd生成 | ベーシック認証用のパスワードを一発作成 | すぐに使える便利なWEBツール | Tech-Unlimited

https://tech-unlimited.com/makehtpasswd.html

.htpasswd生成ツール(MD5対応)|株式会社エン・PCサービス

https://www.en-pc.jp/tech/htpasswd.php

2. .htaccessを作成(追記)する

Basic認証を適用するディレクトリに.htaccessを作成(すでにあれば編集)します。

.htaccessの例:
AuthType Basic
AuthName “Input your ID and Password.”
AuthUserFile /var/www/vhosts/example.com/httpdocs/test/.htpasswd
require valid-user

“AuthName”には、ユーザー名とパスワードを入力するダイアログに表示する文言を設置します。多くの場合、日本語などは文字化けすることがあるのでご注意ください。

“AuthUserFile”には、前述の.htpasswdの位置をフルパスで記載します。サーバーのフルパスについては、サーバー事業者のヘルプ/マニュアルを参照するか、サポートにご相談ください。

Basic認証のセキュリティの注意

Basic認証はあくまで簡易的な認証システムですので、セキュリティに関しては、いくつかの問題があります。

問題1:パスワードが平文で通信される→HTTPSで暗号化する

まず、ページ移動の際にはBase64と呼ばれる符号で通信を行いますが、これは事実上の平文であるため、http通信では簡単にユーザー名とパスワードが漏洩してしまいます。

Basic認証は、必ず常時HTTPSされたサイトでご利用ください。

問題2:総当たり攻撃対策が無い→WAFなどで対策する

また、Basic認証は、いわゆる総当たり攻撃(ブルートフォースアタック)を防ぐことはできませんので、これを対策するためには、別途WAFなどを設置する必要があります。

WebサイトやWebサーバを守るクラウド型WAF 導入実績NO.1

常に進化する脅威に対応するためのセキュリティ対策は必須です。そこで提案したいのが『攻撃遮断くん』です。
『攻撃遮断くん』をオススメする理由は3つあります。

  • 高セキュリティ:自動更新される防御パターンにより、新たな脅威に即座に対応。
  • 継続率98%以上:高品質なサービスと丁寧な顧客対応により、高い顧客満足度を実現。
  • 純国産WAF:開発から運用、保守、サポートまでを一貫して国内で提供。

ニーズに応じた2タイプ(SaaS型、クラウド連携型)をご提供、さらにサイバー攻撃を可視化できます。
いまなら14日間の無料トライアル実施中。詳細はこちらをご確認ください。

攻撃遮断くん 無料トライアルのお申し込みはこちら

メールやホームページの
「困った!」を解決しませんか?

お取引企業20,000を超える実績を持つスピーバーでは、豊富な知識を持ったIT業務の専門家が 複雑な手続きや設定をサポートし、お客様の挑戦と成長を応援いたします。

スピーバーに相談する
よかったらシェアしてね!
  • URLをコピーしました!

この記事を書いた人

大和(やまと)のアバター 大和(やまと) DX推進アドバイザー

肩書:Chief Digital Transformation Officer
名前:大和(やまと)
経歴:プログラマー、ネットワークエンジニアを経てDX推進を担当
   ホスティング事業、クラウド事業に精通し、クラウド黎明期から
   一貫して「初心者の方にも分かりやすく」がモットー。
      これからもクラウド、DXを通じてお客様のお役に立ちたい。
保有資格:基本情報技術者|DX推進アドバイザー|情報セキュリティー管理士

まずはお気軽に
お問い合わせください

スピーバーのサポートデスクでは、レンタルサーバーに関するご質問やご相談だけでなく、
お客様のオフィス内でのお困りごと全般のご相談を受付けています。

パソコンの操作、メールの設定、迷惑メールやスパムメールが多くて困るといった、
日常業務でのお困り事をお気軽にご相談ください。

お電話での
お問い合わせは
スピーバーお問い合わせ電話番号:0120-63-1138
0120-63-1138
9:00~18:00(祝祭日を除く月曜日~金曜日)
目次