アカウント名:
パスワード:
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
数回間違えるとロックされるので総当りは私ならやらないどこで操作されたかを記録しているし、周辺部分での補強処理ゆえに4桁でも実運用になっているんじゃないかな
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
マイナスモデレートする理由も不明だが、「荒らし」モデレートする理由としても理解不能だな。けっこう有意義な議論になっていると思うけど。
さて、リバースブルートフォースで、暗証番号固定でIDを変えて、接続元IPも変えていけばすぐに攻略できる、なんていうてますが、じゃ、同じ暗証番号で何度もチャレンジしてるのがあったら、その暗証番号でのログインは全部ロックしちゃえばいいんですよ。
完全にロックじゃなくても、認証エラーを出すまでの時間を伸ばしていくだけでも強いブルートフォース対策にはなる。
ロックする場合も、ロックされましたって表示せずに延々と認証エラーにすれば、攻撃者は何回チャレンジできるのかわからないので、次の攻撃に移れない。認証エラーには、「一定以上失敗するとロックされることがあります。回数は非公開です」と表示しておけば、正当なユーザには問題ないかな。
たった10000通り程度、あっという間にすべての暗証番号がロックされてしまいそうですが…。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人はmoriwaka -- Anonymous Coward
どこがセキュリティ的に脆弱なのか (スコア:1)
セキュリティが高いと考えるので切り替えました。
利用料もみずほなんかと違って無料だし。
脆弱と考える人は、今まで英数字8ケタだったのが4ケタになってしまったので不安に
感じるというだけで、具体的な脆弱性は示されていません。
いやなら、ワンタイムパスワードカードを申し込まなければ従来通りなので、
別にどうってことないと思いますが。
Re: (スコア:0)
どこって、4桁の数字のみではブルートフォース攻撃で現実的な時間に破られるってことでしょう。
残高の金額や入出金履歴って相当センシティブな情報だと思いますが、見られてもいいんでしょうか。
また、リンク先にあるように、キャッシュカードと同じ番号にする人が出そうなのも嫌な感じです。
この場合、オンラインによる匿名のブルートフォース攻撃でキャッシュカードの暗証番号を入手できることになります。
ワンタイムパスワードはもちろん結構なことですが、だからといって第1パスワードを脆弱にしてよいことはないのでは。
Re: (スコア:1)
数回間違えるとロックされるので総当りは私ならやらない
どこで操作されたかを記録しているし、
周辺部分での補強処理ゆえに
4桁でも実運用になっているんじゃないかな
Re: (スコア:1)
3回でロックされるなら試行の足がつく上に、解除がクソ面倒(電話もなかなかつながらないし)。
たまにしかつかわない且つ間違えるとロックされるようなものに複雑なパスワードをを要求すると利便性も運用も面倒になる。
ロックをやめてブルートフォースを許すリスク、別のパスワード流用されてほかで流出したのでログインできてしまうリスクも踏まえるべき。
あとその後の振り込み処理などではあらためてパスワードを聞かれるので4桁ですべてができるわけではないことも重要。
Re: (スコア:1)
下にもあるけど、リバースブルートフォース(パスワードを固定してIDを変えていく)のこと忘れてるから。
IP変えながらこいつやられたら、数字4桁じゃ簡単に抜かれてしまう。
Re: (スコア:0)
マイナスモデレートする理由も不明だが、「荒らし」モデレートする理由としても理解不能だな。
けっこう有意義な議論になっていると思うけど。
さて、リバースブルートフォースで、暗証番号固定でIDを変えて、接続元IPも変えていけばすぐに攻略できる、なんていうてますが、じゃ、同じ暗証番号で何度もチャレンジしてるのがあったら、その暗証番号でのログインは全部ロックしちゃえばいいんですよ。
完全にロックじゃなくても、認証エラーを出すまでの時間を伸ばしていくだけでも強いブルートフォース対策にはなる。
ロックする場合も、ロックされましたって表示せずに延々と認証エラーにすれば、攻撃者は何回チャレンジできるのかわからないので、次の攻撃に移れない。
認証エラーには、「一定以上失敗するとロックされることがあります。回数は非公開です」と表示しておけば、正当なユーザには問題ないかな。
Re:どこがセキュリティ的に脆弱なのか (スコア:0)
たった10000通り程度、あっという間にすべての暗証番号がロックされてしまいそうですが…。