アカウント名:
パスワード:
リスト型攻撃が猛威を振るってる最大の原因は、ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、パスワードをサーバがランダムで付与するとか、そういったユーザーが決定できない要素を入れることである
ログインIDのランダム化はよくないパスワードのサーバ管理もよくない
ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう
ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う
プロバイダのデフォルトのパスワードとか、Wifiのデフォルトパスワードとか、提供側がランダムパスワードで決めて送ってるので、ハッカーに推測されにくい
でも腐った社員を買うか詐欺メールでウイルス送り込めばぶっこ抜けるじゃん
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
コンピュータは旧約聖書の神に似ている、規則は多く、慈悲は無い -- Joseph Campbell
リスト型攻撃 (スコア:0)
リスト型攻撃が猛威を振るってる最大の原因は、
ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、
パスワードをサーバがランダムで付与するとか、
そういったユーザーが決定できない要素を入れることである
Re: (スコア:0)
ログインIDのランダム化はよくない
パスワードのサーバ管理もよくない
ガバガバセキュリティで取り扱ってもノーダメージ部分とダメな部分を
完全に分けるために平文IDと復元不能なパスワードのハッシュで認証してるので
「これって機微では?」「ここで多層防御なのでは?」と間違った印象を与えて隙を作ってしまう
ただ次善策としてブラウザでパスワード生成して提案しちゃうのはアリかもなーとは思う
Re:リスト型攻撃 (スコア:0)
プロバイダのデフォルトのパスワードとか、
Wifiのデフォルトパスワードとか、
提供側がランダムパスワードで決めて送ってるので、
ハッカーに推測されにくい
Re: (スコア:0)
でも腐った社員を買うか詐欺メールでウイルス送り込めばぶっこ抜けるじゃん