アカウント名:
パスワード:
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
・接続IPを毎回変える・アタック間隔をランダムにして十分にとる。・正規ユーザーの利用が多い時間帯を狙う。・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)・連番攻撃せず、口座番号をシャッフルする。・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)・あからさまなPIN(日付とか)はあえて使わない。
さて正規ユーザに対するサービスを止めずにどうやって防ぐ?
ログインごとにワンタイムパスワードの入力を要求する
それは根本的解決すぎる。今のダメダメな方式を変更せずに対策は不可能って話の流れなのでは?
ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。取引履歴参照ぐらいのことで、乱数表を入力させるのも。
そういう銀行あるけど逆効果なんだよな。乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を考えると不必要に乱数表の値を入れさせるのは結構危険。
というか乱数表自体がもう時代遅れも甚だしい。(はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)
乱数表はSBIが使ってますな。もしくは独自認証アプリを入れるしかなく。独自アプリなんていけてないから、Microsoft Authenticatorにしてもらえないだろうか。。
>じ○ん銀行
じおん銀行?
#宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?#正直TV作品では見覚えが無い。
暗証番号を確認されるだけでもだいぶやばい。磁気カードな人間及び、カード現物を確保するルート用意した上での知人犯行に脆弱。
単純に一定期間内の暗証番号間違いをカウント一定数のエラー数だったらハニーポットアカウントにご招待この瞬間に人的行動監視対象&本人への確認適当な残金表示なのに確認行動をしない&送金を連続するような行動だったらブラック認定して取引停止
これで大抵の不正は防げそう
単純に一定期間内の暗証番号間違いをカウント
送信元アドレスが一定、ということであれば、カウントできるけど、そうでなければカウント困難では?たとえば、botnetを使うとか。
別にアドレスが不定であってもログイン失敗はカウントできるでしょ
無理でしょ。ログインに失敗するのは、毎回違うアカウントですよ。
コンシューマ向けのサービスじゃなかったら「一定回数の連続ログイン失敗」でサービス自体を止めてしまうことも出来るんだけど、それってDoS攻撃が成立したって意味になるので出来ないんだよね。パスワードスプレーは対処困難な攻撃の1つ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
クラックを法規制強化で止められると思ってる奴は頭がおかしい -- あるアレゲ人
今となっては過去の話 (スコア:0)
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
Re:今となっては過去の話 (スコア:4, 興味深い)
・接続IPを毎回変える
・アタック間隔をランダムにして十分にとる。
・正規ユーザーの利用が多い時間帯を狙う。
・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)
・連番攻撃せず、口座番号をシャッフルする。
・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)
・あからさまなPIN(日付とか)はあえて使わない。
さて正規ユーザに対するサービスを止めずにどうやって防ぐ?
Re: (スコア:0)
ログインごとにワンタイムパスワードの入力を要求する
Re: (スコア:0)
それは根本的解決すぎる。
今のダメダメな方式を変更せずに対策は不可能って話の流れなのでは?
Re: (スコア:0)
ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。
取引履歴参照ぐらいのことで、乱数表を入力させるのも。
Re: (スコア:0)
そういう銀行あるけど逆効果なんだよな。
乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を
考えると不必要に乱数表の値を入れさせるのは結構危険。
というか乱数表自体がもう時代遅れも甚だしい。
(はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)
Re: (スコア:0)
乱数表はSBIが使ってますな。もしくは独自認証アプリを入れるしかなく。
独自アプリなんていけてないから、Microsoft Authenticatorにしてもらえないだろうか。。
Re: (スコア:0)
>じ○ん銀行
じおん銀行?
#宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?
#正直TV作品では見覚えが無い。
Re:今となっては過去の話 (スコア:1)
// 違法ではないので地下ではない的
Re: (スコア:0)
暗証番号を確認されるだけでもだいぶやばい。
磁気カードな人間及び、カード現物を確保するルート用意した上での知人犯行に脆弱。
Re: (スコア:0)
単純に一定期間内の暗証番号間違いをカウント
一定数のエラー数だったらハニーポットアカウントにご招待
この瞬間に人的行動監視対象&本人への確認
適当な残金表示なのに確認行動をしない&送金を連続するような行動だったらブラック認定して取引停止
これで大抵の不正は防げそう
Re:今となっては過去の話 (スコア:1)
単純に一定期間内の暗証番号間違いをカウント
送信元アドレスが一定、ということであれば、カウントできるけど、そうでなければカウント困難では?
たとえば、botnetを使うとか。
Re: (スコア:0)
別にアドレスが不定であってもログイン失敗はカウントできるでしょ
Re: (スコア:0)
無理でしょ。
ログインに失敗するのは、毎回違うアカウントですよ。
Re: (スコア:0)
コンシューマ向けのサービスじゃなかったら「一定回数の連続ログイン失敗」で
サービス自体を止めてしまうことも出来るんだけど、それってDoS攻撃が成立した
って意味になるので出来ないんだよね。
パスワードスプレーは対処困難な攻撃の1つ。