パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Uber や Rockstar Games への不正アクセスは「多要素認証疲れ」攻撃だった」記事へのコメント

  • > 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。

    以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。

    • by Anonymous Coward

      これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたら
      アカウントをロックアウトすりゃよい、それだけの話
      過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト

      これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。

      • Re: (スコア:3, すばらしい洞察)

        by Anonymous Coward

        簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな

        そもそもこの攻撃では一度も認証に失敗してないんだぞ
        攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃
        認証出来るやつがする以上、認証は普通に成功する、実際にした

        単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ

        • by Anonymous Coward on 2022年10月03日 11時42分 (#4337432)

          いや認証失敗してるけど

          100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで
          電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだまして
          MFAを突破してるんやで

          親コメント
          • by Anonymous Coward

            > 権利者は許可しないからいずれも失敗になる

            許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だな
            そんなもん実装によるに決まってるだろ

            例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、
            Windowsのrunasでは未入力キャンセルでは失敗にならんのだ

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...