アカウント名:
パスワード:
インジェクションなりで侵入されて、sha1とかでハッシュ化されたパスワードデータがあったら、そこから元に戻すのに現実的な時間で戻せるようになるというところじゃないの?この話。#そもそもWEBアプリだとそんなに速く繰り返しできねぇとおもうのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
開いた括弧は必ず閉じる -- あるプログラマー
セキュリティに対する考え方自体に穴がある (スコア:1)
例えば「n回失敗したら24時間ロックされる」みたいなごく在り来たりな仕組みで、
大文字小文字数字記号の混合パスワードまでやればまず突破は不可能なわけで
#正直なんでこの程度のことをやらずにCPUパワーだの桁数だのばかり気にするのか理解に苦しむ
Re:セキュリティに対する考え方自体に穴がある (スコア:2, すばらしい洞察)
インジェクションなりで侵入されて、sha1とかでハッシュ化されたパスワードデータがあったら、そこから元に戻すのに現実的な時間で戻せるようになるというところじゃないの?この話。
#そもそもWEBアプリだとそんなに速く繰り返しできねぇとおもうのです。
---にょろ~ん
Re: (スコア:0)
ボットネット等を使って膨大なIPアドレスから、複数のアカウントに対して、ゆっくりと目立たないように総当たりをかけてくるんですよ。
同一アカウントに対して1~3回しかチャレンジしてこないから、アカウント単位でのロックアウトだけでは対処しきれません。
かといって、攻撃を受けていることを察知してサービスを停止させてしまったら、DoS攻撃として成立しちゃう。