アカウント名:
パスワード:
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度にしようとすると、log(26+26+10)*8/log(10)≒14.3ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…1234のような辞書に載っている単語もあるのでそういうものは禁止して。
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは「一つのパスワード」に対して「複数のID」を順番に試すという手口です。ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく個々のクライアントはIPを移りわたっていくのでタチが悪い。
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
日々是ハック也 -- あるハードコアバイナリアン
数字だけの場合、何桁ならOK? (スコア:0)
数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
例えば、カブドットコム証券のログインIDは数字8桁の口座番号です。
初期ログイン兼執行PWは、電話でのサービスを受けるために数字8桁です。 http://kabucom.custhelp.com/app/answers/detail/a_id/1504 [custhelp.com]
変更せずに使い続けることもできます。 http://kabucom.custhelp.com/app/answers/detail/a_id/1517 [custhelp.com]
Re: (スコア:3, 参考になる)
> 数字だけの場合、何桁あればサイト側に責任がなくなるのでしょうか?
まだわりと見かける「パスワード英数8文字」というサイトと同程度以上の強度に
しようとすると、
log(26+26+10)*8/log(10)≒14.3
ですから、14文字では足りず、15文字必要ということになりますね。
#英数8文字ってのは、オフライン攻撃に対しては脆弱と見なされる強度ですので、念のため…
Re: (スコア:0)
今回のようにオンラインで行われる攻撃の場合相当多めに見積もっても一定期間中に100回か1000回パスワードを間違えた段階でアカウントを凍結するか契約者に通知するか両方を行えば防げると思うのだが…
1234のような辞書に載っている単語もあるのでそういうものは禁止して。
リバースブルートフォース (スコア:0)
高木センセイが指摘しているリバースブルートフォースという手口ですが、これは
「一つのパスワード」に対して「複数のID」を順番に試すという手口です。
ので一つのIDについて何回かパスワード間違えたらロックという手法では防げません。
やるとしたら、「同じIPアドレスから連続して複数のIDでのログイン試行があったら、そのIPアドレスをブロック」とかでしょうか?
Re:リバースブルートフォース (スコア:0)
企業内からの接続とか、ケーブルテレビとかで複数のクライアントが同一IPにいるケースや、
モバイルでIPを移動しながら試行するケースが対応できません。
特にモバイルは、大量のクライアントが同じIP内に居るだけでなく
個々のクライアントはIPを移りわたっていくのでタチが悪い。
Re: (スコア:0)
クライアント証明書必須で、モバイルは別途専用アプリを用意するとかですかね。