アカウント名:
パスワード:
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
> さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。
元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。
単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。
現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。
その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。
> ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか
これ銀行がやったら非難囂々なのでは?
こういう製品があります。
https://www.akamai.com/jp/ja/multimedia/documents/presentation/web-sec... [akamai.com]
具体的には知らないけど、金融機関で導入しているところがあってもおかしくないんじゃないかな。
銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが
自動ログイン系のアドインは全滅だな
キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?マウス使わないよ?
そういうケースは警告の閾値下げるだけでしょ。それ単体で警告の材料としてるわけがない。マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
今となっては過去の話 (スコア:0)
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
Re:今となっては過去の話 (スコア:1)
> さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?
せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。
Re:今となっては過去の話 (スコア:4, 興味深い)
元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。
単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。
現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。
その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。
Re: (スコア:0)
> ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか
これ銀行がやったら非難囂々なのでは?
Re:今となっては過去の話 (スコア:1)
こういう製品があります。
https://www.akamai.com/jp/ja/multimedia/documents/presentation/web-sec... [akamai.com]
具体的には知らないけど、金融機関で導入しているところがあってもおかしくないんじゃないかな。
Re: (スコア:0)
銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?
なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが
Re: (スコア:0)
自動ログイン系のアドインは全滅だな
Re: (スコア:0)
キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?
マウス使わないよ?
Re: (スコア:0)
そういうケースは警告の閾値下げるだけでしょ。
それ単体で警告の材料としてるわけがない。
マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?