アカウント名:
パスワード:
高木浩光氏は、「・・・全面的にANAとJALに責任がある」ANAは今回は関係ないのでは?
ANAの場合は4桁数字の上にその初期値が誕生日だったという話ですので、パスワードを日付っぽい数字に固定してリバースブルートフォース攻撃をかければ、365分の1よりちょっと小さいくらいの確率(1秒間に何回どころか、1分に1回でも1日あれば十分)で当たってしまいますよね。ですから、
より強度が弱いANAが狙われていないはずがなく、被害が出ていないはずもない。まだ気付かれていないだけに違いないんだ! とか?
この推測はあながち杞憂とは言えないでしょうし、
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
たまたま運が良かっただけでしょう、という話になりますし、
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
これはほぼ無効だからダメでしょう、というのが今回の話だと思います。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
UNIXはただ死んだだけでなく、本当にひどい臭いを放ち始めている -- あるソフトウェアエンジニア
なぜにANAJAL? (スコア:0)
高木浩光氏は、「・・・全面的にANAとJALに責任がある」
ANAは今回は関係ないのでは?
Re:なぜにANAJAL? (スコア:0)
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
そういや、
・何も対策されておらず同じIPアドレスから1秒間に100回でも1000回でもログイン試行が出来る、パスワードが英数字N文字のサイト
と
・正当なユーザには全く気付かれない範囲で不正なログイン試行の繰り返し等は徹底的に弾く仕組みを導入した、パスワードが数字4桁のサイト
の安全性が同じぐらいになるNってどれぐらいなんだろ?
攻撃者が使えるボットネットの規模の想定とか、前者の応答速度とか色々と考えなきゃいけないパラメータは多いけど。
Re: (スコア:0)
ANAの場合は4桁数字の上にその初期値が誕生日だったという話ですので、パスワードを日付っぽい数字に固定してリバースブルートフォース攻撃をかければ、365分の1よりちょっと小さいくらいの確率(1秒間に何回どころか、1分に1回でも1日あれば十分)で当たってしまいますよね。ですから、
より強度が弱いANAが狙われていないはずがなく、被害が出ていないはずもない。まだ気付かれていないだけに違いないんだ! とか?
この推測はあながち杞憂とは言えないでしょうし、
これでANA側には被害が全く無かったとしたら、それはそれでなぜなのか気になる。
たまたま運が良かっただけでしょう、という話になりますし、
不審な連続アクセスを弾く仕組みなんかをJAL以上にきっちり作り込んでいた、とか?
これはほぼ無効だからダメでしょう、というのが今回の話だと思います。
Re: (スコア:0)
まず、普通のユーザの利用をぎりぎり妨げない範囲でできる不正アクセス防止策は、
セキュリティの最前線では、どういうやり方が良いと考えられているのか、辺りから。
単純に同IPアドレスからの繰り返しのみ蹴れば十分なのか、ログインフォームをロードするアクセスからの反応時間とかも見るのか、
ボットの多い地域のIPアドレスを蹴るとかそういう対策も考えられるけど。