アカウント名:
パスワード:
何回か入力するとパスワードをロックされるサイトがあるんだがここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。ここで、IDが間違っていると何度やってもアクセスがロックされない。一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。
これでまずIDが正しいと言う事は分かってしまう。次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが送られてきて、それで認証すると言うタイプ。
しかし、ID入力画面には「IDわからない場合はこちら」と言うあって、ID=メールアドレスなのだが、そこを踏むと秘密の質問と、いくつか個人情報(郵便番号、氏名、生年月日)を入力するとメールアドレスを再設定できてしまう。この時、メールアドレス変更通知は新しいアドレスだけにしか送られない。パスワードリセットの仕組みもオーソドックスな、メールでリセット用のアドレスが送られてクリックするタイプ。
これを組み合わせると、ほぼ公開情報だけでアカウントを乗っ取れるんだよなこれ。適当な個人情報リストを使ってbotでアクセスし、有効なIDを見つける。後は個別にパスワードリセットして回ればアカウントが乗っ取れてしまう。パスワードは数字を組み合わせてねとかかかれているし、古いパスワードやクレジットカードの番号は見ることができないようになっているが、住所の変更などは普通にできてしまうし、これじゃ無駄だ。
なにかのECパッケージを使っているのか、少なくともこの攻撃方法が通用するサイト2つ知ってる。探せばもっとあるのでは。
せめてパスワードがロックされた時、画面に「アカウントはロックされました」とか出さずにこっそり登録メルアドに「あんたのアカウントで何度もアクセス試みてるのがいるけど本人?」って送るとか、IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか、なんとかならんのかな。
一つ一つの手法は正しくて推奨されるものでも、組み合わせたら全然だめってサイト結構ある様な気がする。なんかきちんとしたガイドラインがないのだろうか。
よく読んでもたいした危険性が感じられないのだが
ここで
・秘密の質問は何パターンしか無い・クラックを仕掛ける側の人間は、身近な人(例えば、嫌な同僚を罠にはめたいといったケース)・パスワードは教えてくれる訳も無いが、干支や誕生日などは簡単に手に入る パスワードなどと違って多くの人はこの辺りの情報をセキュリティに関わる情報だと認識していない
と想像力を働かせてみましょう
大規模なセキュリティホールによるものは被害規模が大きいから注目を集めるが実害のあるクラッキング被害は身近な人が仕掛けるケースが一番多い
こういうサイトに出会ったら使わないという選択しか防護する手段が無い
おそらくECサイトパッケージで、いくつかオプションで有効に出来るセキュリティ機能やIDリセット機能があり通常はそれぞれいくつかしか選ばないところを、全部有効にしてしまったために発生した問題
あー後付ね。でも印象はまったく変わらず。
あいかわらず文章の割に内容が薄いね
最初の投稿したのはわたしだけど、それより後の投稿は違う人だよ
問題がないと思うのなら具体的に反論してくれればいいのに、だれもそういう人がいない。どうも変に粘着されちゃって気持ち悪いのだけど、もしかしてズバリ中の人ひいちゃったのかな。
ひとことでいえば「秘密の質問が危険」ってことですよね。
ひとことでいえば「英大手ECサイトが危険」かも。
http://security.srad.jp/story/14/03/03/0340240/%E3%80%8C%E7%A7%98%E5%A... [security.srad.jp] 関連ストーリーに入ってないな。郵便番号を特定出来るだけの住所を公開
> 郵便番号を特定出来るだけの住所を公開しているかは微妙だが???????????????????????
鬱陶しい奴だな
死ねよキチガイ
ハテナを並べるだけで何らかの意図が伝わることを期待する方が
世の中には名簿業者ってのがあってだな…
-1ついてるけどこれ実現できないよな
まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。副作用あるし、そもそもロックとは言わんが。
リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、意図的に応答を遅くして連続攻撃を難しくする。というのはありますね。
元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。
住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。
セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。
でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。
#ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。
セキュリティといえば、大規模なボットネットからの分散攻撃というECサイト側からの視点にまずなるのがスラドの特殊な所なのかな
まずは自衛手段として考えるだろうに被害の多くをしめるカジュアルなクラックからは同一IPからのブロックで十分
十分なわけないだろうに最近かじった程度の知識で恥かかなくてもよいだろよ
本筋と違う言葉尻を捕まえて攻撃しなければならない理由があるひとが最低1人はいるようだな大丈夫だよ、利用している人に被害が及ぶと困るから、サイトのアドレスを公表するつもりはない問題になる前にこっそり直せばいいよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall
パスワードロック…されるのはいいけど… (スコア:1)
何回か入力するとパスワードをロックされるサイトがあるんだが
ここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。
ここで、IDが間違っていると何度やってもアクセスがロックされない。
一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。
これでまずIDが正しいと言う事は分かってしまう。
次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが送られてきて、それで認証すると言うタイプ。
しかし、ID入力画面には「IDわからない場合はこちら」と言うあって、ID=メールアドレスなのだが、そこを踏むと秘密の質問と、いくつか個人情報(郵便番号、氏名、生年月日)を入力するとメールアドレスを再設定できてしまう。この時、メールアドレス変更通知は新しいアドレスだけにしか送られない。パスワードリセットの仕組みもオーソドックスな、メールでリセット用のアドレスが送られてクリックするタイプ。
これを組み合わせると、ほぼ公開情報だけでアカウントを乗っ取れるんだよなこれ。
適当な個人情報リストを使ってbotでアクセスし、有効なIDを見つける。
後は個別にパスワードリセットして回ればアカウントが乗っ取れてしまう。
パスワードは数字を組み合わせてねとかかかれているし、古いパスワードやクレジットカードの番号は見ることができないようになっているが、住所の変更などは普通にできてしまうし、これじゃ無駄だ。
なにかのECパッケージを使っているのか、少なくともこの攻撃方法が通用するサイト2つ知ってる。
探せばもっとあるのでは。
せめてパスワードがロックされた時、画面に「アカウントはロックされました」とか出さずにこっそり登録メルアドに「あんたのアカウントで何度もアクセス試みてるのがいるけど本人?」って送るとか、IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか、なんとかならんのかな。
一つ一つの手法は正しくて推奨されるものでも、組み合わせたら全然だめってサイト結構ある様な気がする。
なんかきちんとしたガイドラインがないのだろうか。
Re: (スコア:0)
よく読んでもたいした危険性が感じられないのだが
Re: (スコア:0)
ここで
・秘密の質問は何パターンしか無い
・クラックを仕掛ける側の人間は、身近な人(例えば、嫌な同僚を罠にはめたいといったケース)
・パスワードは教えてくれる訳も無いが、干支や誕生日などは簡単に手に入る
パスワードなどと違って多くの人はこの辺りの情報をセキュリティに関わる情報だと認識していない
と想像力を働かせてみましょう
大規模なセキュリティホールによるものは被害規模が大きいから注目を集めるが
実害のあるクラッキング被害は身近な人が仕掛けるケースが一番多い
こういうサイトに出会ったら使わないという選択しか防護する手段が無い
おそらくECサイトパッケージで、いくつかオプションで有効に出来るセキュリティ機能やIDリセット機能があり
通常はそれぞれいくつかしか選ばないところを、全部有効にしてしまったために発生した問題
Re: (スコア:0)
あー後付ね。でも印象はまったく変わらず。
あいかわらず文章の割に内容が薄いね
Re: (スコア:0)
最初の投稿したのはわたしだけど、それより後の投稿は違う人だよ
問題がないと思うのなら具体的に反論してくれればいいのに、だれもそういう人がいない。
どうも変に粘着されちゃって気持ち悪いのだけど、もしかしてズバリ中の人ひいちゃったのかな。
Re: (スコア:0)
ひとことでいえば「秘密の質問が危険」ってことですよね。
Re:パスワードロック…されるのはいいけど… (スコア:1)
ひとことでいえば「英大手ECサイトが危険」かも。
Re: (スコア:0)
http://security.srad.jp/story/14/03/03/0340240/%E3%80%8C%E7%A7%98%E5%A... [security.srad.jp]
関連ストーリーに入ってないな。
郵便番号を特定出来るだけの住所を公開
Re: (スコア:0)
> 郵便番号を特定出来るだけの住所を公開しているかは微妙だが
???????????????????????
Re: (スコア:0)
鬱陶しい奴だな
Re: (スコア:0)
死ねよキチガイ
Re: (スコア:0)
ハテナを並べるだけで何らかの意図が伝わることを期待する方が
Re: (スコア:0)
世の中には名簿業者ってのがあってだな…
Re: (スコア:0)
-1ついてるけど
これ実現できないよな
Re: (スコア:0)
まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。
副作用あるし、そもそもロックとは言わんが。
Re:パスワードロック…されるのはいいけど… (スコア:1)
リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、
「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、
意図的に応答を遅くして連続攻撃を難しくする。
というのはありますね。
Re:パスワードロック…されるのはいいけど… (スコア:1)
元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。
そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。
住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。
セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。
でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、
「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。
#ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。
Re: (スコア:0)
セキュリティといえば、大規模なボットネットからの分散攻撃という
ECサイト側からの視点にまずなるのがスラドの特殊な所なのかな
まずは自衛手段として考えるだろうに
被害の多くをしめるカジュアルなクラックからは同一IPからのブロックで十分
Re: (スコア:0)
十分なわけないだろうに
最近かじった程度の知識で恥かかなくてもよいだろよ
Re: (スコア:0)
本筋と違う言葉尻を捕まえて攻撃しなければならない理由があるひとが最低1人はいるようだな
大丈夫だよ、利用している人に被害が及ぶと困るから、サイトのアドレスを公表するつもりはない
問題になる前にこっそり直せばいいよ