Basic認証とは

Basic認証とは

Basic認証とは、ウェブサイトで広く利用されている認証システムの1つです。

正しいユーザー名とパスワードを入力しないとアクセスできないウェブページを作成するために利用されます。

Google ChromeでBasic認証がかけられたウェブページにアクセスした例。

Basic認証の適用範囲

Basic認証は通常、ウェブサイト全体もしくは、サイト内の特定のディレクトリ(フォルダ)に対して適用されます。

例えば

https://www.example.ccom/

全体に適用させるか、あるいは、

https://www.example.ccom/members/

のようなディレクトリに適用させます。

https://www.example.ccom/index.html にはBasic認証を適用させず、
https://www.example.ccom/member.html にはBasic認証を適用させる、

といったことは、通常できません。

※phpなどを組み合わせれば可能ですが、本稿では割愛します。

Basic認証の設定方法1(サーバーの管理画面で設定する)

ほとんどのレンタルサーバーでは、サーバーの管理画面で、GUIによりBasic認証を設定することができます。

具体的な方法は、サーバー業者のヘルプを確認するか、サポートにご相談ください。

ファイルマネージャーでアクセス制限をする – さくらのサポート情報

https://help.sakura.ad.jp/360000337782/

アクセス制限の設定 / サーバー・プログラム / マニュアル – ロリポップ！レンタルサーバー

https://lolipop.jp/manual/user/acl/

アクセス制限（BASIC認証） | レンタルサーバーならエックスサーバー

https://www.xserver.ne.jp/manual/man_server_limit.php

コンテンツへのアクセスを制限する | Plesk Obsidian documentation

https://docs.plesk.com/ja-JP/obsidian/administrator-guide/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%82%A4%E3%83%88%E7%AE%A1%E7%90%86/%E3%82%A6%E3%82%A7%E3%83%96%E3%82%B5%E3%82%A4%E3%83%88%E3%81%A8%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3/%E3%82%B3%E3%83%B3%E3%83%86%E3%83%B3%E3%83%84%E3%81%B8%E3%81%AE%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%92%E5%88%B6%E9%99%90%E3%81%99%E3%82%8B.65152/

Basic認証の設定方法2(.htaccessを利用する)

※「.htaccessとは」の記事も合わせてご参照ください。

.htaccessを利用してBasic認証を設定することも可能です。

ほとんどの場合、サーバー管理画面での設定するよりのメリットはありませんので、

本稿では簡単に解説します。

1.   .htpasswdファイルを作成する。

ウェブ領域内(Basic認証と適用するディレクトリでも、その外でもかまいません)に、”.htpasswd”というファイルを設置し、こちらにユーザー名とハッシュ化したパスワード情報と”:”で区切ったものを記録します。改行で複数ユーザーを設定することも可能です。

.htpasswdの例:
mennbaer1:3rXum6uiFMcF6
mennbaer2:MCdWUqTg4mqUw

.htpasswdのためのパスワードのハッシュ化には、様々なサービスがあります。

※弊社としてこれらのサービスの安全性を保証するものではありません。該当サービスを利用することにより、いかなる責任も弊社は負いかねますので、ご了承の上ご利用ください。

htpasswdファイル生成(作成)

https://www.luft.co.jp/cgi/htpasswd.php

.htpasswd生成 | ベーシック認証用のパスワードを一発作成 | すぐに使える便利なWEBツール | Tech-Unlimited

https://tech-unlimited.com/makehtpasswd.html

.htpasswd生成ツール(MD5対応)｜株式会社エン・ＰＣサービス

https://www.en-pc.jp/tech/htpasswd.php

2. .htaccessを作成(追記)する

Basic認証を適用するディレクトリに.htaccessを作成(すでにあれば編集)します。

.htaccessの例:
AuthType Basic
AuthName “Input your ID and Password.”
AuthUserFile /var/www/vhosts/example.com/httpdocs/test/.htpasswd
require valid-user

“AuthName”には、ユーザー名とパスワードを入力するダイアログに表示する文言を設置します。多くの場合、日本語などは文字化けすることがあるのでご注意ください。

“AuthUserFile”には、前述の.htpasswdの位置をフルパスで記載します。サーバーのフルパスについては、サーバー事業者のヘルプ/マニュアルを参照するか、サポートにご相談ください。

Basic認証のセキュリティの注意

Basic認証はあくまで簡易的な認証システムですので、セキュリティに関しては、いくつかの問題があります。

問題1:パスワードが平文で通信される→HTTPSで暗号化する

まず、ページ移動の際にはBase64と呼ばれる符号で通信を行いますが、これは事実上の平文であるため、http通信では簡単にユーザー名とパスワードが漏洩してしまいます。

Basic認証は、必ず常時HTTPSされたサイトでご利用ください。

問題2:総当たり攻撃対策が無い→WAFなどで対策する

また、Basic認証は、いわゆる総当たり攻撃(ブルートフォースアタック)を防ぐことはできませんので、これを対策するためには、別途WAFなどを設置する必要があります。

WebサイトやWebサーバを守るクラウド型WAF 導入実績NO.1

常に進化する脅威に対応するためのセキュリティ対策は必須です。そこで提案したいのが『攻撃遮断くん』です。
『攻撃遮断くん』をオススメする理由は3つあります。

• 高セキュリティ：自動更新される防御パターンにより、新たな脅威に即座に対応。
• 継続率98%以上：高品質なサービスと丁寧な顧客対応により、高い顧客満足度を実現。
• 純国産WAF：開発から運用、保守、サポートまでを一貫して国内で提供。

ニーズに応じた2タイプ(SaaS型、クラウド連携型)をご提供、さらにサイバー攻撃を可視化できます。
いまなら14日間の無料トライアル実施中。詳細はこちらをご確認ください。