Basic認証の主な問題点は、認証情報が毎回暗号化されずに送信されるため盗聴リスクが高いことと、ログアウト機能がないためなりすましリスクが高いことの2つです。
- 認証情報の盗聴リスク
Basic認証はID・パスワードをBase64エンコードして毎回送信するため、一度でも通信を盗聴されると認証情報が漏えいします。 - ログアウト機能がないことによるなりすましリスク
Basic認証にはログアウト機能が存在せず、ブラウザの履歴消去やブラウザの終了以外に認証情報を破棄する手段がないため、ログアウト状態であれば防げる被害を避けられません。
Basic認証は実装の手軽さと引き換えに重大なセキュリティリスクを抱えるため、より安全な認証方式への移行が推奨されます。
リスクの詳細については「Basic認証の問題点」をご覧ください。
