アカウント名:
パスワード:
ID/PASSだけで認証しようとするから起こる問題でしょ。ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
二段階と言っても様々な手法があるし、それぞれの手法でメリットもデメリットがある。
セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。
あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
二段階認証ノススメ (スコア:0)
ID/PASSだけで認証しようとするから起こる問題でしょ。
ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、
辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。
二段階ではなく多要素 (スコア:2)
二段階と言っても様々な手法があるし、
それぞれの手法でメリットもデメリットがある。
セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。
二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。
あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。
uxi