パスワードの Bcrypt対応

セキュリティは、今日のビジネスソリューションシステムにとって基本的なトピックです。4D では、その重要性を理解しているからこそ、このトピックに対応する機能を提供し続けています。

4D v19 R3 では、ユーザーパスワードに強力なハッシュアルゴリズムを使用するようになりました。もっと詳しく見てみましょう

bcryptアルゴリズムが登場

簡単に言うと、MD5 をベースとした従来のアルゴリズムの代わりに、パスワードはすべて bcryptアルゴリズムでハッシュ化されるようになりました。このブログ記事で紹介したように、4D ではすでに Webログインにbcryptを使用することができます。その流れで、4D認証にも同じアルゴリズムを使用することにしました。目的は、ディレクトリファイルのセキュリティを向上させることです。bcryptでハッシュ化された強力なパスワードを破るには、数十年かかるのです!

どのように実装するか?

設定やコード行に手を加える必要はありません。ツールボックスで、または CHANGE PASSWORDSet user propertiesコマンドでパスワードを変更すると、以前のハッシュの代わりに、bcryptハッシュが保存されます。そして認証時に 4D は、レガシーハッシュと bcryptハッシュのどちらでパスワードが保存されているかを自動的に認識するため、ユーザーはパスワードを変更していない場合でも接続することができます。つまり、この新しいアルゴリズムを利用し、セキュリティを向上させるには、ユーザーにパスワードを変更するように伝えるだけでいいのです。

重要:4D v19 R3 以降でパスワードを変更した場合、以前のバージョンに戻ると認証拒否が発生することに留意してください。特にデザイナーと管理者のパスワードの修正には注意が必要です。新しいバージョンに移行する前には、(バイナリーデータベースの場合は 4DBファイル、プロジェクトの場合はdirectory.jsonファイルの) バックアップしておくと安心です。

最後に、セキュリティを向上させるためには、データ漏洩に注意し、ユニークで強力なパスワードを使用する必要があることを忘れないでください。

Avatar
- プロダクトオーナー - Damien Fuzeauは、2019年2月に4D Productチームに参加しました。プロダクトオーナーとして、ユーザーストーリー(ユーザーが期待する新機能とその使用法)を書き、それを具体的な機能仕様に変換することを担当しています。また、実装された機能が顧客のニーズを満たしているかどうかを確認することも彼の役割です。ナント大学のソフトウェア工学科を卒業。前職の会社では最初は開発者として(1997年に4Dを発見)、後にエンジニアリングマネージャーとソフトウェアアーキテクトとして、23年以上勤務しました。この会社は、4DのOEMパートナーであり、現在は数千のユーザーと数百のサーバーに向けて4Dベースのビジネスソフトを展開しています。ですから、Damienは、多言語環境での4D開発・導入に慣れています。