アカウント名:
パスワード:
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
・接続IPを毎回変える・アタック間隔をランダムにして十分にとる。・正規ユーザーの利用が多い時間帯を狙う。・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)・連番攻撃せず、口座番号をシャッフルする。・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)・あからさまなPIN(日付とか)はあえて使わない。
さて正規ユーザに対するサービスを止めずにどうやって防ぐ?
ログインごとにワンタイムパスワードの入力を要求する
ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。取引履歴参照ぐらいのことで、乱数表を入力させるのも。
そういう銀行あるけど逆効果なんだよな。乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を考えると不必要に乱数表の値を入れさせるのは結構危険。
というか乱数表自体がもう時代遅れも甚だしい。(はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)
>じ○ん銀行
じおん銀行?
#宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?#正直TV作品では見覚えが無い。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
今となっては過去の話 (スコア:0)
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
Re: (スコア:4, 興味深い)
・接続IPを毎回変える
・アタック間隔をランダムにして十分にとる。
・正規ユーザーの利用が多い時間帯を狙う。
・いろんな銀行口座を混ぜる(一つの銀行のアタック回数が減る)
・連番攻撃せず、口座番号をシャッフルする。
・PINも毎回変える(下手な鉄砲も数撃ちゃ当たる方式なので別に固定じゃなくて良い)
・あからさまなPIN(日付とか)はあえて使わない。
さて正規ユーザに対するサービスを止めずにどうやって防ぐ?
Re: (スコア:0)
ログインごとにワンタイムパスワードの入力を要求する
Re: (スコア:0)
ログイン後のクリティカルな作業にのみ、ワンタイムパスワードを要求すればいいのよ。
取引履歴参照ぐらいのことで、乱数表を入力させるのも。
Re: (スコア:0)
そういう銀行あるけど逆効果なんだよな。
乱数表って20~40個程度しかパターンがないんだけど、ロガー仕掛けられて情報蓄積された時を
考えると不必要に乱数表の値を入れさせるのは結構危険。
というか乱数表自体がもう時代遅れも甚だしい。
(はずなんだけど未だに新規開設でも使ってるじ○ん銀行とか大丈夫か?)
Re: (スコア:0)
>じ○ん銀行
じおん銀行?
#宇宙世紀に一般向け情報通信ネットワークの存在が表現されるようになったのはいつからだろう?
#正直TV作品では見覚えが無い。
Re:今となっては過去の話 (スコア:1)
// 違法ではないので地下ではない的