アカウント名:
パスワード:
あまりにも短いパスワードは論外としても、文字列の長さに頼るよりもアカウントロックまでの回数や認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが総当り等のようなゴリ押し技には効果的に思える。
幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。
総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。
まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
文字列長よりも (スコア:0)
あまりにも短いパスワードは論外としても、文字列の長さに頼るよりも
アカウントロックまでの回数や
認証処理を延々と繰り返してくるクライアントのIPアドレス制限等を充実させるほうが
総当り等のようなゴリ押し技には効果的に思える。
Re: (スコア:0)
幾らかの失敗後にそういう制限をつけるのは正しいと思う。けど、なかなかうまく実装できてないところも多い。
それより、普通に考えて、総当たり攻撃を受ける側がそれほどのパフォーマンスがないと思うけどね。
1秒間に1億回の認証とか、普通できるもんなんだろうか。スラドとか1秒に1000トライでも厳しいんじゃなかろうか。
総当たりでごり押しするのって、ハッシュが漏洩済みで復元するためにするか、Googleなど大規模なサーバーパフォーマンスを持ってるターゲットくらいでは。そっちはアカウントロックなどやるだろうけど。
AppleがiCloudのFindMyIPhone機能でアカウントロックなど実装してなくてセレブがハックされたんだっけ。
まぁ、パスワードは長いに越したことはない。自分を守るために。サービス側が守ってくれるとは限らない。