パスワードを忘れた? アカウント作成

Twitterでハッカーに優しい銀行が話題に」記事へのコメント

  • さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
    磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?

    • by Anonymous Coward

      > さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。

      リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?
      せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。

      • by nim (10479) on 2020年09月23日 14時51分 (#3893636)

        元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。

        単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。

        現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。

        その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。

        • by Anonymous Coward

          > ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか

          これ銀行がやったら非難囂々なのでは?

          • by nim (10479) on 2020年09月23日 16時52分 (#3893738)

            こういう製品があります。

            https://www.akamai.com/jp/ja/multimedia/documents/presentation/web-sec... [akamai.com]

            具体的には知らないけど、金融機関で導入しているところがあってもおかしくないんじゃないかな。

          • by Anonymous Coward

            銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?
            なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが

            • by Anonymous Coward

              自動ログイン系のアドインは全滅だな

            • by Anonymous Coward

              キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?
              マウス使わないよ?

              • by Anonymous Coward

                そういうケースは警告の閾値下げるだけでしょ。
                それ単体で警告の材料としてるわけがない。
                マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...