PHPでのパスワード制限のセキュリティはどうなのか

PHPで下のようなパスワードでロックして見れないようにしてみたのですが、セキュリティは大丈夫なのでしょうか。BASIC認証と比べて教えていただきたいです。よろしくお願いいたします。
<?php
if (isset($_POST['username']) && isset($_POST['password'])) {
if ($_POST['username'] == '111' && $_POST['password'] == 'fdjeojo') {
echo '<div id="name">111専用の内容</div>';
echo '<button onclick="location.href=\'\'">ログアウト</button>';
} else {
echo 'パスワードかユーザー名が違います';
}
} else {
echo '<form method="post">';
echo 'ユーザー名：<input type="text" name="username"><br>';
echo 'パスワード：<input type="password" name="password"><br>';
echo '<input type="submit" value="ログイン">';
echo '</form>';
}
?>

No.1 ベストアンサー 回答者： Ogre7077 回答日時： 2024/01/29 09:40

ウェブ通信路が TLS 1.3 で行われていれば大丈夫です。

TLS なら BASIC 認証もフォーム送信も、セキュリティの点で大差ありません。

この回答へのお礼

ありがとうございます。
そのほかのSSLだったらだめなのですか。
BASIC認証の.htpasswdではパスワードを暗号化したりしているのに対してPHPのほうではしていませんが、そこは大丈夫なのでしょうか。
教えていただきたいです。よろしくお願いいたします。

お礼日時：2024/01/30 16:34

No.2 回答者： Ogre7077 回答日時： 2024/01/30 17:49

> そのほかのSSLだったらだめなのですか。

情報処理推進機構(IPA)のガイドラインによると、
2020 年時点での高セキュリティ型サーバーとは以下と定めています。
* TLS1.3 が 必須
* TLS1.2 が 条件付き
* TLS1.1 / TLS1.0 / SSL3.0 / SSL2.0 が 禁止

> BASIC認証の.htpasswdではパスワードを暗号化したり...

その程度の暗号化は現代的なセキュリティ観点では無いも同然です。
ブラウザ・サーバ間の通信を丸ごと暗号化する TLS ならば、
パスワードも自動的に暗号化して送受信するので安全です。

参考) セキュリティに興味がおありなら一読をお勧めします
https://www.ipa.go.jp/security/vuln/websecurity/ …
https://www.ipa.go.jp/security/crypto/guideline/ …

この回答へのお礼

ありがとうございます。
TLS1.3ではない場合は、セキュリティはどうなるのでしょうか。BASIC認証のほうが高いのでしょうか。
教えていただきたいです。よろしくお願いいたします。

お礼日時：2024/01/30 21:20