アカウント名:
パスワード:
前置き:ユーザー視点的対策の話です。
定期的なパスワード変更よりも
「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。
「前回ログイン履歴」では自分が①前回いつログインしたか覚えてないとわからない。②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい
という問題があると思うのです。
で、「ログイン試行履歴」をだしてもらった場合どうなるかとい
たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。
もと※です。Last login:ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。でもそれではダメなのでは?。というのが元※の考えの元です。
もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?
というのが元※の趣旨であり、キモです。攻撃の1回目で成功すれば別ですが、その確率はかなり低い。
つまりログイン失敗回数と間隔で「自分のIDが攻撃を受けている。受けていた。 および攻撃の失敗・成功をユーザー側でも判断可能にする」
いうのが趣旨です。
元※にも書いたように、「Last login:」や「仕様サービス履歴」では、「成功し
もと※です。Last login:ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。https://lh.login.yahoo.co.jp/ [yahoo.co.jp]ご希望の機能ではありませんか?
やってみましたが、「ログインの失敗」については表示されませんでした。これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。
逆に問わせて下さい。「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」(アクセス元で大分絞れるとは思います。)
#2515276についてもここで返信させて頂きますが、私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。
もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、ログインの失敗もないので、元※も適応できないわけですが。
Yahoo! のログイン履歴は成功したものだけを表示するようです。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
日時も重要ではないでしょうか。「いつ」,「どこから」の組み合わせで大体は判別できそうです。
#2515276 の AC さんも「攻撃自体が自分のIDだけである」なんて書いてないんですよね。
短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる
ユーザの視点からすれば,自分の ID しか見ることができないのですから。複数アカウントへの攻撃の一部としても,「単一のアカウントに対する連続攻撃」を前提にしているのではないのですか?
パスワードリスト攻撃を想定するならば,一つのアカウントへのログイン試行は少ない,大抵は一回限りだったりするのではないでしょうか。
で,逆に問わせて下さい。「失敗したログイン試行履歴があった場合、この内容からどのログイン試行が自分のものでないログイン試行と判別しますか?」
ときどきパスワードの入力を間違えることはありませんか?前回いつログインに失敗したか覚えていますか?
ちょっと煽るような書き方になってしまいましたが,個人的には貴方のアイデアは悪くないと思います。ただ,多くのサイトで使われていないのは,その方法に気づいていないからではないとも思います。ある程度の知名度があるサイトでは,不正なログイン試行は結構頻繁におこなわれていて,それらをすべて表示すると本当に不正ログインされたときの検出力が低下してしまう「狼少年」になってしまいます。
ログインに失敗したときにメールで通知する機能を持ったサイトはありますね。Facebook はそうじゃなかったかな?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
個人的提案:定期的なパスワード変更よりも (スコア:4, 興味深い)
前置き:ユーザー視点的対策の話です。
定期的なパスワード変更よりも
「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」
「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。
「前回ログイン履歴」では自分が
①前回いつログインしたか覚えてないとわからない。
②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい
という問題があると思うのです。
で、「ログイン試行履歴」をだしてもらった場合どうなるかとい
Re: (スコア:0)
たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。
あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。
Re: (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
でもそれではダメなのでは?。というのが元※の考えの元です。
もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?
というのが元※の趣旨であり、キモです。
攻撃の1回目で成功すれば別ですが、その確率はかなり低い。
つまりログイン失敗回数と間隔で
「自分のIDが攻撃を受けている。受けていた。
および攻撃の失敗・成功をユーザー側でも判断可能にする」
いうのが趣旨です。
元※にも書いたように、「Last login:」や「仕様サービス履歴」では、
「成功し
Re: (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。
https://lh.login.yahoo.co.jp/ [yahoo.co.jp]
ご希望の機能ではありませんか?
Re: (スコア:0)
やってみましたが、
「ログインの失敗」については表示されませんでした。
これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。
逆に問わせて下さい。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
(アクセス元で大分絞れるとは思います。)
#2515276についてもここで返信させて頂きますが、
私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」
の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。
もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、
ログインの失敗もないので、元※も適応できないわけですが。
Re:個人的提案:定期的なパスワード変更よりも (スコア:0)
Yahoo! のログイン履歴は成功したものだけを表示するようです。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
日時も重要ではないでしょうか。「いつ」,「どこから」の組み合わせで大体は判別できそうです。
#2515276についてもここで返信させて頂きますが、
私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
#2515276 の AC さんも「攻撃自体が自分のIDだけである」なんて書いてないんですよね。
短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる
ユーザの視点からすれば,自分の ID しか見ることができないのですから。複数アカウントへの攻撃の
一部としても,「単一のアカウントに対する連続攻撃」を前提にしているのではないのですか?
パスワードリスト攻撃を想定するならば,一つのアカウントへのログイン試行は少ない,大抵は一回限り
だったりするのではないでしょうか。
で,逆に問わせて下さい。
「失敗したログイン試行履歴があった場合、この内容からどのログイン試行が自分のものでないログイン試行と判別しますか?」
ときどきパスワードの入力を間違えることはありませんか?前回いつログインに失敗したか覚えていますか?
ちょっと煽るような書き方になってしまいましたが,個人的には貴方のアイデアは悪くないと思います。
ただ,多くのサイトで使われていないのは,その方法に気づいていないからではないとも思います。
ある程度の知名度があるサイトでは,不正なログイン試行は結構頻繁におこなわれていて,それらを
すべて表示すると本当に不正ログインされたときの検出力が低下してしまう「狼少年」になってしまいます。
ログインに失敗したときにメールで通知する機能を持ったサイトはありますね。Facebook はそうじゃなかったかな?