アカウント名:
パスワード:
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
> さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。
元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。
単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。
現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。
その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。
> ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか
これ銀行がやったら非難囂々なのでは?
銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが
キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?マウス使わないよ?
そういうケースは警告の閾値下げるだけでしょ。それ単体で警告の材料としてるわけがない。マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
目玉の数さえ十分あれば、どんなバグも深刻ではない -- Eric Raymond
今となっては過去の話 (スコア:0)
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
Re: (スコア:1)
> さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?
せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。
Re: (スコア:4, 興味深い)
元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。
単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。
現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。
その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。
Re: (スコア:0)
> ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか
これ銀行がやったら非難囂々なのでは?
Re: (スコア:0)
銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?
なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが
Re:今となっては過去の話 (スコア:0)
キーボード操作でのログインやスマホ・タブレットからのログインはどうするんでしょう?
マウス使わないよ?
Re: (スコア:0)
そういうケースは警告の閾値下げるだけでしょ。
それ単体で警告の材料としてるわけがない。
マウス操作が人間っぽかったら、アタックされてるとの判定が甘くなる、って考えればわかるかな?