アカウント名:
パスワード:
リスト型攻撃が猛威を振るってる最大の原因は、ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、パスワードをサーバがランダムで付与するとか、そういったユーザーが決定できない要素を入れることである
ログインIDのランダム化はよくないパスワードのサーバ管理もよくない
ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう
ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う
プロバイダのデフォルトのパスワードとか、Wifiのデフォルトパスワードとか、提供側がランダムパスワードで決めて送ってるので、ハッカーに推測されにくい
でも腐った社員を買うか詐欺メールでウイルス送り込めばぶっこ抜けるじゃん
「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。
IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。
自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。
銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。
そんなこといってるが、どうせGoogleやらAppleやらがリスト型攻撃対策にサーバ付与パスワード導入したら、さすがアメリカ進んでるとか賞賛するんでしょ?
わざわざサーバーサイドに導入しないでしょう。彼らは必要なら手元でランダムパスワードを生成できるクライアントを配ってますから。
別に称賛しませんけど、どうしてそう思ったんです?もしかして日本(とフランスだったか)特有のGAFA信仰の方ですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
リスト型攻撃 (スコア:0)
リスト型攻撃が猛威を振るってる最大の原因は、
ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、
パスワードをサーバがランダムで付与するとか、
そういったユーザーが決定できない要素を入れることである
Re: (スコア:0)
ログインIDのランダム化はよくない
パスワードのサーバ管理もよくない
ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を
完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので
「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう
ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う
Re: (スコア:0)
プロバイダのデフォルトのパスワードとか、
Wifiのデフォルトパスワードとか、
提供側がランダムパスワードで決めて送ってるので、
ハッカーに推測されにくい
Re: (スコア:0)
でも腐った社員を買うか詐欺メールでウイルス送り込めばぶっこ抜けるじゃん
Re: (スコア:0)
「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。
IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。
自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。
銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。
Re: (スコア:0)
そんなこといってるが、どうせGoogleやらAppleやらがリスト型攻撃対策に
サーバ付与パスワード導入したら、さすがアメリカ進んでるとか賞賛するんでしょ?
Re: (スコア:0)
わざわざサーバーサイドに導入しないでしょう。彼らは必要なら手元でランダムパスワードを生成できるクライアントを配ってますから。
Re: (スコア:0)
別に称賛しませんけど、どうしてそう思ったんです?
もしかして日本(とフランスだったか)特有のGAFA信仰の方ですか?