パスワードを忘れた? アカウント作成

意図的に間違ったID/パスワードを入力し、他のユーザーがログインできなくなるようにする嫌がらせ」記事へのコメント

  • by Anonymous Coward on 2019年02月07日 9時18分 (#3561057)

    ID/PASSだけで認証しようとするから起こる問題でしょ。
    ID/PASS認証に加えて登録された端末にワンタイムパスフレーズを送信する二段階認証にすれば、
    辞書攻撃でPASSを何度間違われてもLOCKOUTの必要はない。

    ここに返信
    • by uxi (5376) on 2019年02月08日 13時28分 (#3561931)

      二段階と言っても様々な手法があるし、
      それぞれの手法でメリットもデメリットがある。

      セキュリティはトレードオフの問題なので、様々な手法が選べることが大切。
      二要素と言わず、複数の要素を自由に組み合わせ可能であることが望ましい。

      あと、既に SMS 認証は NIST から非推奨の方針が出ている [srad.jp]。

      --
      uxi
    • by Anonymous Coward

      パスワードが判明するからあまり良くない。
      例えばパスワードを調べた後にスマホなどを短時間(無断)借用してイタズラできる。
      多段階認証にすべきではあるけど、それとは別にパスワードのブルートフォース攻撃や辞書攻撃対策は必要。

      • by Anonymous Coward

        この条件での二段階認証有効化は全ユーザー必須が前提になるんじゃない?
        そうすればパスワードが間違っててもワンタイムパス入力は必須になる。

      • by Anonymous Coward

        無断借用できるんなら、パスワード調べるまでもなくブラウザが覚えてるだろ

    • by Anonymous Coward

      これは余計悪いな

アレゲは一日にしてならず -- アレゲ見習い

処理中...