章: 第8章: パフォーマンスと本番運用実践
パスワードが漏れたとき、あなたのアプリは大丈夫ですか?
パスワードの使い回しや情報流出は日常的に起きています。「パスワードを設定している」だけでは、現代の認証基準を満たしているとは言えません。
2要素認証(2FA)とセッション管理を組み合わせることで、パスワードが漏えいした場合でも不正ログインを防ぐ防御層を追加できます。
問題の本質と解決策
問題: パスワード認証だけでは、認証情報の漏えいや推測攻撃に対して脆弱です。セッションの固定化攻撃(Session Fixation)のリスクもあります。
解決策: ログイン成功後に session()->regenerate() でセッションIDを再生成します。さらに2FAコードの確認を追加することで、認証要素を「知識」+「所持」の2層にします。管理者アカウントから段階的に導入するのが現実的な進め方です。
1段階認証 vs 2FA+セッション管理 比較
| 観点 | パスワードのみ | 2FA+セッション再生成 |
| パスワード漏えい時 | 即座に不正ログイン可能 | 2FAコードがなければログイン不可 |
| セッション固定攻撃 | 脆弱 | regenerate() で無効化 |
| UXへの影響 | なし | 2FAステップが追加される |
| 導入の優先度 | 基本 | 管理者・機密操作から優先 |
チェックポイント:
Auth::login()の後に$request->session()->regenerate()を呼んでいますか?セッションIDを再生成しないと固定化攻撃のリスクが残ります。
実装サンプル
<?php
// ログイン成功後に2FA状態を確認
if ($user->two_factor_secret) {
session(['2fa:user:id' => $user->id]);
return redirect()->route('2fa.challenge');
}
Auth::login($user);
$request->session()->regenerate();
まとめ & 次のステップ
- パスワード漏えい前提で防御層を追加することが現代の認証設計の基本です
- ログイン後は必ず
session()->regenerate()でセッションIDを再生成します - 2FAは管理者アカウントから段階的に導入するのが現実的です
- Laravel Fortify を使うと2FAの実装基盤をすぐに用意できます
- まずは管理画面だけでも2FAを有効にするところから始めましょう
次回は レート制限の高度化設計 を学びます。ユーザー属性に応じた柔軟なアクセス制限の設計方法を解説します。
