アカウント名:
パスワード:
タイトルオンリー
そう。「もう解読できないから諦めようぜ」と、サボる口実になるのだ。
Appleに秘密鍵を開示しろと迫ったりエンドツーエンド暗号化を断念させたりする仕事があるよ
> 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
なんか、ここ引っ掛かりますね。スマホではほとんどが数字6桁だけのパスコードですが、一定数のログイン失敗でログインできなくなり、そのシステムをFBIとかが解除するのに苦労していたと思うのですが。それはWebサービスじゃないかゃら拒否攻撃がしにくいというのは尤もだけど、Webでも対処方法を考えられる気がするんですよね。(私には考えられないけど)
スマホは通常、不特定多数が触れないし、一定時間経過すれば自動でロック解除されるでしょう。それでも、いたずらで47年間もロック [rocketnews24.com]されて平気な人は少ない。
世の中、パスワード失敗でアカウントロックするのは良いけど、電話でロック解除どころか、パスワードリセットするみたいなソーシャルハックの入り口を作る所もあります。ロックアウトするのは良いけど、「ロックアウト機能」が悪用された場合の対処手段や、ロックアウトからの回復手順に適切な手順が設計・構築・運用されているのかは要注意だと思います。そっちから攻めたら秘密の質問みたいに実は簡単に突破できるみたいなパターンが有り得るので。
そもそもパスが十分に長く安全な物であれば、長大なロックアウトなんて必要ないよね。一試行に合計数秒かかる程度の、ロックアウトとも呼べない些細なウェイトだけで十分機器寿命以上の時間を稼げる。
逆に、ロックアウトするならパスは非常に短い物でも安全性を確保できる可能性がある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
それがFBIにとって都合のいいパスワードってことか (スコア:5, おもしろおかしい)
タイトルオンリー
Re: (スコア:0)
そう。「もう解読できないから諦めようぜ」と、サボる口実になるのだ。
Re: (スコア:0)
Appleに秘密鍵を開示しろと迫ったりエンドツーエンド暗号化を断念させたりする仕事があるよ
Re: (スコア:0)
> 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない
なんか、ここ引っ掛かりますね。
スマホではほとんどが数字6桁だけのパスコードですが、一定数のログイン失敗でログインできなくなり、そのシステムをFBIとかが解除するのに苦労していたと思うのですが。
それはWebサービスじゃないかゃら拒否攻撃がしにくいというのは尤もだけど、Webでも対処方法を考えられる気がするんですよね。(私には考えられないけど)
Re: (スコア:0)
スマホは通常、不特定多数が触れないし、一定時間経過すれば自動でロック解除されるでしょう。
それでも、いたずらで47年間もロック [rocketnews24.com]されて平気な人は少ない。
世の中、パスワード失敗でアカウントロックするのは良いけど、電話でロック解除どころか、パスワードリセットするみたいなソーシャルハックの入り口を作る所もあります。
ロックアウトするのは良いけど、「ロックアウト機能」が悪用された場合の対処手段や、ロックアウトからの回復手順に適切な手順が設計・構築・運用されているのかは要注意だと思います。
そっちから攻めたら秘密の質問みたいに実は簡単に突破できるみたいなパターンが有り得るので。
Re: (スコア:0)
そもそもパスが十分に長く安全な物であれば、
長大なロックアウトなんて必要ないよね。
一試行に合計数秒かかる程度の、
ロックアウトとも呼べない些細なウェイトだけで十分機器寿命以上の時間を稼げる。
逆に、ロックアウトするならパスは非常に短い物でも安全性を確保できる可能性がある。