アカウント名:
パスワード:
リスト型攻撃が猛威を振るってる最大の原因は、ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、パスワードをサーバがランダムで付与するとか、そういったユーザーが決定できない要素を入れることである
「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。
IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。
自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。
銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。
そんなこといってるが、どうせGoogleやらAppleやらがリスト型攻撃対策にサーバ付与パスワード導入したら、さすがアメリカ進んでるとか賞賛するんでしょ?
わざわざサーバーサイドに導入しないでしょう。彼らは必要なら手元でランダムパスワードを生成できるクライアントを配ってますから。
別に称賛しませんけど、どうしてそう思ったんです?もしかして日本(とフランスだったか)特有のGAFA信仰の方ですか?
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
リスト型攻撃 (スコア:0)
リスト型攻撃が猛威を振るってる最大の原因は、
ログインはユーザーが決めたIDとパスワードのセットだから
他の流出したサイトの情報で試せば高確率でログイン可能となる
正しい対策法は、たとえばログインIDをサーバがランダムで付与するとか、
パスワードをサーバがランダムで付与するとか、
そういったユーザーが決定できない要素を入れることである
Re:リスト型攻撃 (スコア:0)
「ぼくのかんがえたさいきょうのセキュリティ」を語りたがる人にあるある絵に描いた餅。
IPAも十数年前はそんな馬鹿げたことを言っていたが、最近は初期パスワードをランダムにするようにだけ言っている。
自分で覚えられないIDやパスワードを強制的に付与することは、利用者の管理負担と会社のサポート業務を増やし、サービスの利用率と満足度を下げ、売り上げの減少に繋がる。
銀行やクレジット会社は不正利用時の補償義務があるので、利用者の利便性を犠牲にしてでもリスト型攻撃の対策をする必要があるが、一般的なサービスではそんな必要はない。
Re: (スコア:0)
そんなこといってるが、どうせGoogleやらAppleやらがリスト型攻撃対策に
サーバ付与パスワード導入したら、さすがアメリカ進んでるとか賞賛するんでしょ?
Re: (スコア:0)
わざわざサーバーサイドに導入しないでしょう。彼らは必要なら手元でランダムパスワードを生成できるクライアントを配ってますから。
Re: (スコア:0)
別に称賛しませんけど、どうしてそう思ったんです?
もしかして日本(とフランスだったか)特有のGAFA信仰の方ですか?