アカウント名:
パスワード:
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度にしようとすると、log(26+26+10)*8/log(10)≒14.3ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…1234のような辞書に載っている単語もあるのでそういうものは禁止して。
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは「一つのパスワード」に対して「複数のID」を順番に試すという手口です。ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので同一IPから1000回までのアクセスを許したとして1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションがパスワードにないと不味くて、数字11桁は欲しいところですね。
もっとも、大規模マンションのNATゲートウェイとか、総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースもあるので1日1000回までとかにすると一部のIPを手動で解除しなければいけなくなったりしてなかなか面倒なことに。
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく個々のクライアントはIPを移りわたっていくのでタチが悪い。
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。
多段認証を使うとか後はそもそも画像認証ならプログラムによる自動化に対して相当強力な妨害になりますね。そしてOCRが劇的に進歩する。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
Stableって古いって意味だっけ? -- Debian初級
数字だけの場合、何桁ならOK? (スコア:0)
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
Re: (スコア:3, 参考になる)
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
しようとすると、
log(26+26+10)*8/log(10)≒14.3
ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
Re:数字だけの場合、何桁ならOK? (スコア:0)
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
1234のような辞書に載っている単語もあるのでそういうものは禁止して。
Re:数字だけの場合、何桁ならOK? (スコア:1)
一定期間中に連続して間違えてたらユーザに通知して困ってるのか尋ねるくらいしないとダメでしょうね。
>1234のような辞書に載っている単語もあるのでそういうものは禁止して。
大昔から初期値が誕生日MMDDになってたそうで、そこがまずダメだろうね。
パスワード変更作業が楽にできるようになってればいいけど、そうでなければ面倒で変えないユーザが多いだろうし。
こっちも一定期間中にlogin & パスワード変更が無ければユーザに通知して変更を促すとかしないとダメだと思う。
リバースブルートフォース (スコア:0)
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
Re:リバースブルートフォース (スコア:4, 興味深い)
ボットネットとかを使えば IP も 10万種類ぐらいまでは調達できるので
同一IPから1000回までのアクセスを許したとして
1000回×IP10万種類×安全係数1000=10^11ぐらいのバリエーションが
パスワードにないと不味くて、数字11桁は欲しいところですね。
もっとも、大規模マンションのNATゲートウェイとか、
総合大学のプロキシとか、一つのIPに数千人ぶら下がっているケースも
あるので1日1000回までとかにすると一部のIPを手動で解除しなければ
いけなくなったりしてなかなか面倒なことに。
Re: (スコア:0)
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、
モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく
個々のクライアントはIPを移りわたっていくのでタチが悪い。
Re: (スコア:0)
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。
安全性と利便性はトレードオフ (スコア:0)
多段認証を使うとか後はそもそも画像認証ならプログラムによる自動化に対して相当強力な妨害になりますね。
そしてOCRが劇的に進歩する。