アカウント名:
パスワード:
設定できるIDやパスワードが短いんですかね?パスワードの変更を促さないから?認証サービスが短時間でレスポンスを返すから?
よく分からん。
パスワードアタックをスルーしてた時点でSo-netの不備じゃないですかねぇ。
特定のIPからの集中したパスワードアタックの時点でアクセス遮断?→結局長い期間やられるだけ
パスワードをある回数以上間違えた時点で数時間アカウントフリーズなどの仕組み→やっぱり結局長い期間やられるだけ
例えば累計でありえない回数(1000回とか10000回)のパスワードトライがあったら特定のIPアクセス遮断するってのが正解?
でもIDとパスワードが同じユーザの洗い出しであれば、検出した時点で既に数ユーザはバレている。
IDとパスワードが同じユーザを許していたのか禁止していたのかよく分からんし。
パスワードを固定してIDのほうを変えていくアタックに有効な手段ってありましたっけ?10000人中128人が同じパスワードを使ってたというのはありそうな気も。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー
これって何の不備? (スコア:0)
設定できるIDやパスワードが短いんですかね?
パスワードの変更を促さないから?
認証サービスが短時間でレスポンスを返すから?
よく分からん。
Re:これって何の不備? (スコア:1)
パスワードアタックをスルーしてた時点でSo-netの不備じゃないですかねぇ。
Re: (スコア:0)
特定のIPからの集中したパスワードアタックの時点でアクセス遮断?
→結局長い期間やられるだけ
パスワードをある回数以上間違えた時点で数時間アカウントフリーズなどの仕組み
→やっぱり結局長い期間やられるだけ
例えば累計でありえない回数(1000回とか10000回)のパスワードトライがあったら
特定のIPアクセス遮断するってのが正解?
でもIDとパスワードが同じユーザの洗い出しであれば、検出した時点で既に数ユーザ
はバレている。
IDとパスワードが同じユーザを許していたのか禁止していたのかよく分からんし。
Re: (スコア:0)
パスワードを固定してIDのほうを変えていくアタックに有効な手段ってありましたっけ?
10000人中128人が同じパスワードを使ってたというのはありそうな気も。
Re: (スコア:0)
Re: (スコア:0)