アカウント名:
パスワード:
前置き:ユーザー視点的対策の話です。
定期的なパスワード変更よりも
「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。
「前回ログイン履歴」では自分が①前回いつログインしたか覚えてないとわからない。②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい
という問題があると思うのです。
で、「ログイン試行履歴」をだしてもらった場合どうなるかとい
たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。
もと※です。Last login:ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。でもそれではダメなのでは?。というのが元※の考えの元です。
もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?
というのが元※の趣旨であり、キモです。攻撃の1回目で成功すれば別ですが、その確率はかなり低い。
つまりログイン失敗回数と間隔で「自分のIDが攻撃を受けている。受けていた。 および攻撃の失敗・成功をユーザー側でも判断可能にする」
いうのが趣旨です。
元※にも書いたように、「Last login:」や「仕様サービス履歴」では、「成功したログイン」しか判別できないので、「攻撃を受けている最中」は認識できないのです。(サービス一覧に関しては、攻撃成功後は自分が使用しないサービスで判断できそうですが。)
今でもたまに不正ログインによる情報流出のニュースが出たりしますが、実際の不正ログインから間が空きますよね。管理者が認識・対処方法決めるまで情報がでないので仕方ないところなのですが。攻撃が実質管理者しか認識できないので。
このタイムラグをユーザーでも攻撃認識できるようにすれば、被害も減るのでは?という考えです。
どうでしょうか?
もと※です。Last login:ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。https://lh.login.yahoo.co.jp/ [yahoo.co.jp]ご希望の機能ではありませんか?
やってみましたが、「ログインの失敗」については表示されませんでした。これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。
逆に問わせて下さい。「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」(アクセス元で大分絞れるとは思います。)
#2515276についてもここで返信させて頂きますが、私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。
もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、ログインの失敗もないので、元※も適応できないわけですが。
ログインの失敗は、サービス開始当初は提供されていたんだけど途中から提供されない仕様に変わったんだよ。多分、日常茶飯事的にアタックが繰り返されているんだろう。
#デグレードするような仕様変更を平気でするのはさすがヤフーと呆れざるを得ない
Yahoo! のログイン履歴は成功したものだけを表示するようです。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
日時も重要ではないでしょうか。「いつ」,「どこから」の組み合わせで大体は判別できそうです。
#2515276 の AC さんも「攻撃自体が自分のIDだけである」なんて書いてないんですよね。
短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる
ユーザの視点からすれば,自分の ID しか見ることができないのですから。複数アカウントへの攻撃の一部としても,「単一のアカウントに対する連続攻撃」を前提にしているのではないのですか?
セキュアドックという製品の初期のバージョンは表示されて驚いた事がある。
攻撃が1回だとしたって意味はあるでしょう。私は面白いアイデアだと思いますね。
俺もいいと思う社内サービスに入れてみるか
攻撃者の顔を勝手に規定するのはよくない。
攻撃には大規模攻撃から個人的乗っ取りまであるから。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
個人的提案:定期的なパスワード変更よりも (スコア:4, 興味深い)
前置き:ユーザー視点的対策の話です。
定期的なパスワード変更よりも
「ログイン後に”最近ログイン試行した履歴”をだしてくれた方が、セキュリティ強度は上がるんではないだろうか。」
「前回ログイン履歴」を出してくれるところは結構、あるけれども「ログインの試行履歴」まで出してくれるところはあまり見ない。
「前回ログイン履歴」では自分が
①前回いつログインしたか覚えてないとわからない。
②ログインができているという事は攻撃が成功している。 が①の問題で攻撃成功も判別しづらい
という問題があると思うのです。
で、「ログイン試行履歴」をだしてもらった場合どうなるかとい
Re: (スコア:0)
たしかヤフーでしたっけ。 直近利用サービス一覧を提供しているのは。
あとは…パソ通で繋ぎにいった時とかサーバーにsshで入る時とかLast login:は表示されてましたよね。
Re:個人的提案:定期的なパスワード変更よりも (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
でもそれではダメなのでは?。というのが元※の考えの元です。
もと※の「ログイン試行履歴」は「ログインに失敗した時刻と回数」も一覧表示されるべきでは?
というのが元※の趣旨であり、キモです。
攻撃の1回目で成功すれば別ですが、その確率はかなり低い。
つまりログイン失敗回数と間隔で
「自分のIDが攻撃を受けている。受けていた。
および攻撃の失敗・成功をユーザー側でも判断可能にする」
いうのが趣旨です。
元※にも書いたように、「Last login:」や「仕様サービス履歴」では、
「成功したログイン」しか判別できないので、「攻撃を受けている最中」は
認識できないのです。
(サービス一覧に関しては、攻撃成功後は自分が使用しないサービスで判断できそうですが。)
今でもたまに不正ログインによる情報流出のニュースが出たりしますが、
実際の不正ログインから間が空きますよね。管理者が認識・対処方法決めるまで
情報がでないので仕方ないところなのですが。
攻撃が実質管理者しか認識できないので。
このタイムラグをユーザーでも攻撃認識できるようにすれば、被害も減るのでは?
という考えです。
どうでしょうか?
Re: (スコア:0)
もと※です。
Last login:
ではダメなのです。 ヤフーも確かに前回ログイン表示されますね。
ご自身のIDと間違ったパスワードでログインを試みてからアクセスしてみてください。
https://lh.login.yahoo.co.jp/ [yahoo.co.jp]
ご希望の機能ではありませんか?
Re: (スコア:0)
やってみましたが、
「ログインの失敗」については表示されませんでした。
これだと攻撃と不正ログインの判別がつかないのでは?と思ったわけです。
逆に問わせて下さい。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
(アクセス元で大分絞れるとは思います。)
#2515276についてもここで返信させて頂きますが、
私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
「サーバーへの攻撃の一部に自分のIDが含まれ、自分のIDも攻撃を受けている場合」
の話だとわかりませんか?パスワードリストアタックやなにかの一部である場合です。
もちろん外部からIDとパスワードリストを取得して不正ログインされた場合、
ログインの失敗もないので、元※も適応できないわけですが。
Re:個人的提案:定期的なパスワード変更よりも (スコア:3, 興味深い)
ログインの失敗は、サービス開始当初は提供されていたんだけど途中から提供されない仕様に変わったんだよ。
多分、日常茶飯事的にアタックが繰り返されているんだろう。
#デグレードするような仕様変更を平気でするのはさすがヤフーと呆れざるを得ない
Re: (スコア:0)
Yahoo! のログイン履歴は成功したものだけを表示するようです。
「不正ログインがされていた場合、この内容からどのログインが自分のものでない不正ログインと判別しますか?」
日時も重要ではないでしょうか。「いつ」,「どこから」の組み合わせで大体は判別できそうです。
#2515276についてもここで返信させて頂きますが、
私は「攻撃自体が自分のIDだけである」なんていつ書きましたか?
#2515276 の AC さんも「攻撃自体が自分のIDだけである」なんて書いてないんですよね。
短期間に多くのログイン試行の失敗が発見されれば(自分のIDが)攻撃を受けていると判別できる
ユーザの視点からすれば,自分の ID しか見ることができないのですから。複数アカウントへの攻撃の
一部としても,「単一のアカウントに対する連続攻撃」を前提にしているのではないのですか?
Re: (スコア:0)
まぁそんな攻撃はされないとしても、「ネトゲAを遊ぼうとしたら、ネトゲBのパスワードを使った身に覚えのない失敗履歴が1回あった。こりゃネトゲBがハクられたんだな」みたいなのが判るのは一応意味ありそうだけど。
Re: (スコア:0)
失敗パスワード表示されるわけないな
俺あほすぎ
Re: (スコア:0)
セキュアドックという製品の初期のバージョンは表示されて驚いた事がある。
Re: (スコア:0)
攻撃が1回だとしたって意味はあるでしょう。私は面白いアイデアだと思いますね。
Re: (スコア:0)
俺もいいと思う
社内サービスに入れてみるか
Re: (スコア:0)
攻撃者の顔を勝手に規定するのはよくない。
攻撃には大規模攻撃から個人的乗っ取りまであるから。