Basic認証は8文字まで？9文字以上のパスワードを設定する方法

2022.09.22 篠原隆司

アフィリエイト広告を利用しています

このページの内容が役に立ったら X (旧twitter) でフォローして頂けると励みになります
挨拶や報告は無しで大丈夫です

意外と知られていない事実があります。

Basic認証はあまり考えずに設定すると、パスワードの先頭から８文字までしか認識されていない可能性があります。

パスワードの8文字までってどういう意味だ？

例えばですが次のようなパスワードを設定します。

abcd1234efgh5678

16文字のパスワードです。
このように8文字を超えるパスワードを設定しても実際には先頭から8文字目までの次の部分しか設定していないのと同じことになります。

abcd1234

せっかく長いパスワードを設定してもこれでは意味がないばかりか、自分の中では長いパスワードを設定しているつもりだったのに実はそうではなかった、というのはちょっと怖いですね。

それはパスワードの暗号化方式によります。

暗号化には種類があるのですが、Basic認証で使われている一般的な暗号化方式がこのような仕様だからです。

具体的にはDESと呼ばれる方式です。

「apacheのbasic認証は・・・」って言われることもありますが、そうだからではなくパスワードファイル（.htpassword）を作るときの問題です。

原因は暗号化方式なので、パスワードファイル（.htpassword）を作成するときに暗号化方式をデフォルトから適切なものに変えてやればOKです。

具体的には次のようになります。

htpasswd -nbm [ID] [パスワード]

※[ID]、[パスワード] は任意のものに。 [ と ] の記号は不要。

画面に表示されるだけなので、出てきた内容をコピーしてパスワードファイル（.htpassword）に貼り付けます。

htpasswd -nbm [ID] [パスワード] > /example/.htpassword

※[ID]、[パスワード] は任意のものに。 [ と ] の記号は不要。

※既にファイルが存在する場合は上書きになるので注意（元の内容は消えます）

htpasswd -nbm [ID] [パスワード] >> /example/.htpassword

※[ID]、[パスワード] は任意のものに。 [ と ] の記号は不要。

作成する場合の > が >> に変わるだけです。
追記したファイルを開くと、空白行ができてることがあります。気になるなら削除してOKですが、最終行の空行だけは必要です。

.htpassword ファイルを見ただけで見分けられるかな、と思うところですが、難しいです。

誰にでも出来て確実な方法でいうと実際にやってみることです。

１．Basic認証を設定しているページにアクセスします。

２．パスワードは先頭8文字までだけを入力し、OKを押します。

ログインできたら9文字以上に対応していないパスワードです。

上記の方法で、.htpassword の内容を作り直しましょう。

※そもそもパスワードに9文字以上設定していないページでは無意味です。

Basic認証発行サービスのようなWEBツールをご利用の方は9文字以上に対応していない可能性が高いのでご注意ください。

ということで宣伝です。

弊社ではPHP・MySQL・javascriptを使ったWebサイトを得意としています。
これらは2005年頃から触り続けてきていることもあり得意中の得意です。

1日で完了する簡単なことから、半年・１年規模のものまで幅広く承っています。

特にプログラム開発が必要になるようなカスタマイズは遠慮なくご相談ください。

フロントの見た目に関わるところはデザイン会社が担当、裏方の技術部分を弊社が担当するケースもあり柔軟に対応することができます。

メールやSNSなどのメッセージで簡単に連絡いただいたあとで、電話していただけると確実です。（お問い合わせ）