アカウント名:
パスワード:
異常アクセス数の検知もしてないようなシステムなら、どんな暗証番号にしてても多少前後しようがすぐ当たるよ。
検知システムくわしくないんだけど、パスワードスプレー攻撃でも検知はできるもの?アカウント一件あたりの試行回数は少なくなるんですよね?
リバースブルートフォース対策は、同一IPアドレスからの失敗繰り返しで、そのIPアドレスを遮断する、とかですね。で、特定IPアドレス遮断は、DDoSのようにアクセス元が分散されたらもう検知できない。
そんな場合でも、ブラウザの指紋とか使えば対策できそうだけど、そういう検知をやってるところがあるかは知らない。攻撃側も本当のブラウザでアクセスするわけじゃないから、指紋が変わるようにリクエスト情報に乱数要素をいれたら、それでもどうしようもないかな。
攻撃が始まったら失敗回数が跳ね上がるから検知はできるのでは。でも検知できたとしてどうするんだろう?ログイン止めたらサービス止めるのと同じだし。BOT群からのIPアドレス遮断を厳しくやると、BOTに寄生されたアホは自業自得としても、無関係のユーザがIPSごと影響が出そうだし、2chみたいな巻き添えと思われるアクセス拒否を経験したこともない。大手は常にそういう攻撃にさらされていると思うから、何かしら方法はあるんだと思うけど。
ログイン成功でも失敗でも1秒ぐらいは時間がかかるようにするだけでもだいぶ効果ありそう攻撃受けてるときならばもちょっと伸ばしてもいいか
串経由だとIP判定は厳しい。認証エラー検知しても特定対象のみブロックは難しいしサービス停止はさすがに無理。認証後の時間設定しても攻撃者は多数のPC(もしくはツール?内で複数セッション)を使うだろうからn秒後に処理がずれるだけで正規ユーザに怒られない程度の遅延では対処としては弱いかも。
同じパスワードで何度もアクセスしてますね、が難しいのも今回の苦労の点。
全通り試すのに十分なぐらいセッションが使われてればそうなんですけど、100台とかで期待クラック時間が数分、とかの時は効きそうな気がしません?0.1秒が1秒になれば10倍クラックにかかる時間が伸びますし
何なら「セキュリティ確認中です…」とか出して10秒かけたっていいかも
たとえば工場のラインを想像してもらえると分かるけど、時間がかかる製品も稼働してしまえば時間がかかるのは最初だけで、その後は毎日生産何万台って事もできるわけ。
今回はバッチなりなんなりでずーっとPC認証させておけばよいのでときどき様子見して成功した口座を犯人がログインして残高いっぱい引き出せば成功なの。10秒なんて痛くもないわけ。
横からですまんが教えてやろうトライにかかる時間が1/100になれば同じ時間かけて攻撃されても被害は1/100になるんや、すごいだろう?1万件の被害が100件になる採算ラインを割るならもう攻撃もされなくなるんやで!!びっくりだよなぁなんと工場もそうなんだ!!大量にラインがあっても制作にかかる時間が1分のものは100分のものより100倍もたくさん作れるんだよこれまたびっくりだよねだからトヨタとかも速度を重視してるんだよくわかったかな?
ぜんぜんわかんない#3890973は工場のラインのこといってるんだろうなってわかる。工場のラインって書いてるしな
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:0)
異常アクセス数の検知もしてないようなシステムなら、どんな暗証番号にしてても多少前後しようがすぐ当たるよ。
Re: (スコア:0)
検知システムくわしくないんだけど、パスワードスプレー攻撃でも検知はできるもの?アカウント一件あたりの試行回数は少なくなるんですよね?
Re: (スコア:0)
リバースブルートフォース対策は、同一IPアドレスからの失敗繰り返しで、そのIPアドレスを遮断する、とかですね。
で、特定IPアドレス遮断は、DDoSのようにアクセス元が分散されたらもう検知できない。
そんな場合でも、ブラウザの指紋とか使えば対策できそうだけど、そういう検知をやってるところがあるかは知らない。
攻撃側も本当のブラウザでアクセスするわけじゃないから、指紋が変わるようにリクエスト情報に乱数要素をいれたら、それでもどうしようもないかな。
Re: (スコア:0)
攻撃が始まったら失敗回数が跳ね上がるから検知はできるのでは。でも検知できたとしてどうするんだろう?
ログイン止めたらサービス止めるのと同じだし。
BOT群からのIPアドレス遮断を厳しくやると、BOTに寄生されたアホは自業自得としても、
無関係のユーザがIPSごと影響が出そうだし、2chみたいな巻き添えと思われるアクセス拒否を経験したこともない。
大手は常にそういう攻撃にさらされていると思うから、何かしら方法はあるんだと思うけど。
Re: (スコア:2)
ログイン成功でも失敗でも1秒ぐらいは時間がかかるようにするだけでもだいぶ効果ありそう
攻撃受けてるときならばもちょっと伸ばしてもいいか
Re: (スコア:0)
串経由だとIP判定は厳しい。
認証エラー検知しても特定対象のみブロックは難しいしサービス停止はさすがに無理。
認証後の時間設定しても
攻撃者は多数のPC(もしくはツール?内で複数セッション)を使うだろうから
n秒後に処理がずれるだけで
正規ユーザに怒られない程度の遅延では対処としては弱いかも。
同じパスワードで何度もアクセスしてますね、が難しいのも今回の苦労の点。
Re: (スコア:2)
全通り試すのに十分なぐらいセッションが使われてればそうなんですけど、
100台とかで期待クラック時間が数分、とかの時は効きそうな気がしません?
0.1秒が1秒になれば10倍クラックにかかる時間が伸びますし
何なら「セキュリティ確認中です…」とか出して10秒かけたっていいかも
Re: (スコア:0)
たとえば工場のラインを想像してもらえると分かるけど、
時間がかかる製品も稼働してしまえば時間がかかるのは最初だけで、
その後は毎日生産何万台って事もできるわけ。
今回はバッチなりなんなりでずーっとPC認証させておけばよいので
ときどき様子見して成功した口座を犯人がログインして残高いっぱい引き出せば成功なの。
10秒なんて痛くもないわけ。
Re: (スコア:0)
横からですまんが教えてやろう
トライにかかる時間が1/100になれば同じ時間かけて攻撃されても被害は1/100になるんや、すごいだろう?
1万件の被害が100件になる
採算ラインを割るならもう攻撃もされなくなるんやで!!
びっくりだよなぁ
なんと工場もそうなんだ!!
大量にラインがあっても制作にかかる時間が1分のものは100分のものより100倍もたくさん作れるんだよ
これまたびっくりだよね
だからトヨタとかも速度を重視してるんだ
よくわかったかな?
Re:8文字以下なら偏りなんかほとんど意味ないでしょ (スコア:0)
ぜんぜんわかんない
#3890973は工場のラインのこといってるんだろうなってわかる。工場のラインって書いてるしな