パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

英大手ECサイトの66%が単純なパスワードの使用を許可している」記事へのコメント

  • 何回か入力するとパスワードをロックされるサイトがあるんだが
    ここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。
    ここで、IDが間違っていると何度やってもアクセスがロックされない。
    一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。

    これでまずIDが正しいと言う事は分かってしまう。
    次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが

    • by Anonymous Coward

      > IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか

      ??????????????

      • by Anonymous Coward

        -1ついてるけど
        これ実現できないよな

        • by Anonymous Coward

          まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。
          副作用あるし、そもそもロックとは言わんが。

          • リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、
            「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、
            意図的に応答を遅くして連続攻撃を難しくする。
            というのはありますね。

            • 元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。
              そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。

              住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。

              セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。

              でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、
              「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。

              #ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。

              親コメント

あつくて寝られない時はhackしろ! 386BSD(98)はそうやってつくられましたよ? -- あるハッカー

処理中...