パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

JALマイレージバンク、不正アクセスによりマイルが盗まれる被害」記事へのコメント

  • 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?

    例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
    初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
    変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]

    • Re: (スコア:3, 参考になる)

      by Anonymous Coward

      > 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?

      まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
      しようとすると、
      log(26+26+10)*8/log(10)≒14.3
      ですから、14文字では足りず、15文字必要ということになりますね。

      #英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…

      • by Anonymous Coward

        今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
        1234のような辞書に載っている単語もあるのでそういうものは禁止して。

        • 高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
          「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
          ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
          やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?

          • by Anonymous Coward on 2014年02月04日 21時10分 (#2539445)

            ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので
            同一IPから1000回までのアクセスを許したとして
            1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションが
            パスワードにないと不味くて、数字11桁は欲しいところですね。

            もっとも、大規模マンションのNATゲートウェイとか、
            総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースも
            あるので1日1000回までとかにすると一部のIPを手動で解除しなければ
            いけなくなったりしてなかなか面倒なことに。

            親コメント

目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond

処理中...