アカウント名:
パスワード:
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
数回間違えるとロックされるので総当りは私ならやらないどこで操作されたかを記録しているし、周辺部分での補強処理ゆえに4桁でも実運用になっているんじゃないかな
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
マイナスモデレートする理由も不明だが、「荒らし」モデレートする理由としても理解不能だな。けっこう有意義な議論になっていると思うけど。
さて、リバースブルートフォースで、暗証番号固定でIDを変えて、接続元IPも変えていけばすぐに攻略できる、なんていうてますが、じゃ、同じ暗証番号で何度もチャレンジしてるのがあったら、その暗証番号でのログインは全部ロックしちゃえばいいんですよ。
完全にロックじゃなくても、認証エラーを出すまでの時間を伸ばしていくだけでも強いブルートフォース対策にはなる。
ロックする場合も、ロックされましたって表示せずに延々と認証エラーにすれば、攻撃者は何回チャレンジできるのかわからないので、次の攻撃に移れない。認証エラーには、「一定以上失敗するとロックされることがあります。回数は非公開です」と表示しておけば、正当なユーザには問題ないかな。
> どこぞで読んだ話だと、ボットネットを使用した分散型のリバースブルートフォースが多くて、>しかも一気に攻撃するのではなくてゆっくり時間をかけるのだとか。>つまり、攻撃者は既にそれらの防御策には対応済みという事のようです。
ボットネットで分散的にゆっくりやっても、結局は特定の暗証番号が何度もチャレンジされて失敗するので検知可能でしょう。
> あと、たとえ失敗したとしても使用された暗証番号の記録はセキュリティ的によろしくないと思いますよ。
これは問題ないと思う。パスワードではなくて暗証番号だし、全てのアカウントで失敗した結果(この暗証番号は使われていないという除外リスト)ではなく、ブルートフォースの初期の段階でロックするわけだから。むしろ、その暗証番号が狙われてると判断するために必要だよね。
最初から1/10000に期待してるのですから、チャレンジする暗証番号をランダムにすれば問題ないです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
どこがセキュリティ的に脆弱なのか (スコア:1)
セキュリティが高いと考えるので切り替えました。
利用料もみずほなんかと違って無料だし。
脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
感じるというだけで、具体的な脆弱性は示されていません。
いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
別にどうってことないと思いますが。
Re: (スコア:0)
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
Re: (スコア:1)
数回間違えるとロックされるので総当りは私ならやらない
どこで操作されたかを記録しているし、
周辺部分での補強処理ゆえに
4桁でも実運用になっているんじゃないかな
Re: (スコア:1)
3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。
ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。
あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
Re: (スコア:1)
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
Re: (スコア:0)
マイナスモデレートする理由も不明だが、「荒らし」モデレートする理由としても理解不能だな。
けっこう有意義な議論になっていると思うけど。
さて、リバースブルートフォースで、暗証番号固定でIDを変えて、接続元IPも変えていけばすぐに攻略できる、なんていうてますが、じゃ、同じ暗証番号で何度もチャレンジしてるのがあったら、その暗証番号でのログインは全部ロックしちゃえばいいんですよ。
完全にロックじゃなくても、認証エラーを出すまでの時間を伸ばしていくだけでも強いブルートフォース対策にはなる。
ロックする場合も、ロックされましたって表示せずに延々と認証エラーにすれば、攻撃者は何回チャレンジできるのかわからないので、次の攻撃に移れない。
認証エラーには、「一定以上失敗するとロックされることがあります。回数は非公開です」と表示しておけば、正当なユーザには問題ないかな。
Re:どこがセキュリティ的に脆弱なのか (スコア:1)
あと、たとえ失敗したとしても使用された暗証番号の記録はセキュリティ的によろしくないと思いますよ。
Re: (スコア:0)
> どこぞで読んだ話だと、ボットネットを使用した分散型のリバースブルートフォースが多くて、
>しかも一気に攻撃するのではなくてゆっくり時間をかけるのだとか。
>つまり、攻撃者は既にそれらの防御策には対応済みという事のようです。
ボットネットで分散的にゆっくりやっても、結局は特定の暗証番号が何度もチャレンジされて失敗するので検知可能でしょう。
> あと、たとえ失敗したとしても使用された暗証番号の記録はセキュリティ的によろしくないと思いますよ。
これは問題ないと思う。
パスワードではなくて暗証番号だし、全てのアカウントで失敗した結果(この暗証番号は使われていないという除外リスト)ではなく、ブルートフォースの初期の段階でロックするわけだから。
むしろ、その暗証番号が狙われてると判断するために必要だよね。
Re: (スコア:0)
最初から1/10000に期待してるのですから、チャレンジする暗証番号をランダムにすれば問題ないです。