アカウント名:
パスワード:
何回か入力するとパスワードをロックされるサイトがあるんだがここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。ここで、IDが間違っていると何度やってもアクセスがロックされない。一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。
これでまずIDが正しいと言う事は分かってしまう。次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが
> IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか
??????????????
-1ついてるけどこれ実現できないよな
まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。副作用あるし、そもそもロックとは言わんが。
リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、意図的に応答を遅くして連続攻撃を難しくする。というのはありますね。
元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。
住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。
セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。
でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。
#ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。
セキュリティといえば、大規模なボットネットからの分散攻撃というECサイト側からの視点にまずなるのがスラドの特殊な所なのかな
まずは自衛手段として考えるだろうに被害の多くをしめるカジュアルなクラックからは同一IPからのブロックで十分
十分なわけないだろうに最近かじった程度の知識で恥かかなくてもよいだろよ
本筋と違う言葉尻を捕まえて攻撃しなければならない理由があるひとが最低1人はいるようだな大丈夫だよ、利用している人に被害が及ぶと困るから、サイトのアドレスを公表するつもりはない問題になる前にこっそり直せばいいよ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
パスワードロック…されるのはいいけど… (スコア:1)
何回か入力するとパスワードをロックされるサイトがあるんだが
ここも普通にパスワードを入力間違いしている間は「パスワードとIDが不明」と言う形で表示される。
ここで、IDが間違っていると何度やってもアクセスがロックされない。
一方で、アカウントが合っているがパスワードが間違っている状態で何回か繰り返していると「アカウントがロックされました。ロックを解除するにはこちら」と言うリンクが表示される仕様のサイトがある。
これでまずIDが正しいと言う事は分かってしまう。
次にアカウントロックを解除するんだが、方式は登録メールアドレスに解除用リンクが
Re:パスワードロック…されるのはいいけど… (スコア:-1)
> IDがあっているかどうかに関わらず、一定回数入力されたらロックされる仕様にするとか
??????????????
Re: (スコア:0)
-1ついてるけど
これ実現できないよな
Re: (スコア:0)
まあ頑張って好意的に解釈すると、同じIPからの間違いが連続したらブロックするくらいか。
副作用あるし、そもそもロックとは言わんが。
Re:パスワードロック…されるのはいいけど… (スコア:1)
リバースブルートフォース(「ブルートフォース」自体に「パスワードを」総当りするという含意はないので、変な用語だと思うけど)対抗策として、
「同一の送信元IPアドレスから、パスワードを固定したリクエストが一定時間内に一定回数以上送られた場合には、
意図的に応答を遅くして連続攻撃を難しくする。
というのはありますね。
Re:パスワードロック…されるのはいいけど… (スコア:1)
元コメの主張は、「実在しないIDで複数回エラーの場合」も、「実在するIDで複数改の場合」と同様にロック処理をすべきだ、という話でしょう。
そうしてないので、「ロックされるかどうか」で「実在するIDかどうか」の判定ができてしまう、と。
住所等とメールアドレスが既知のターゲットに対する標的型アタックで、メールアドレスをIDとしたログインチャレンジすることで、「そのユーザーが該当サービスに登録しているかどうか」がわかってしまう、というのは一種のリスクだと思います。
セキュリティに関するガイドラインで、「ユーザーIDが存在しない場合も、パスワードが間違えた場合と同じ反応にすること」(そうしないと、応答の違いでIDの存在有無がばれてしまう)というのがあったかと思いますヶ、それが守りきれてないってことですね。
でも、ロックでそういう反応の違いがあるというサイトはあまり見たことないというかあまり試したことありませんが、
「パスワードを忘れた場合」の対応では、「該当するIDは存在しません」といった親切なメッセージを出してくれやがるサイトも結構見かけるような気がします。
#ていうか、そういう操作でメールアドレスを間違えたときにも何ごともなかったかのように「送信しました」というメッセージが出るサイトもありますが、セキュリティ的にそっちが望ましいと頭では理解できるものの、「登録した覚えはあるけどどのメールアドレスで登録したのか覚えてない」時なんかはちょっと途方に暮れたりしますね。
Re: (スコア:0)
セキュリティといえば、大規模なボットネットからの分散攻撃という
ECサイト側からの視点にまずなるのがスラドの特殊な所なのかな
まずは自衛手段として考えるだろうに
被害の多くをしめるカジュアルなクラックからは同一IPからのブロックで十分
Re: (スコア:0)
十分なわけないだろうに
最近かじった程度の知識で恥かかなくてもよいだろよ
Re: (スコア:0)
本筋と違う言葉尻を捕まえて攻撃しなければならない理由があるひとが最低1人はいるようだな
大丈夫だよ、利用している人に被害が及ぶと困るから、サイトのアドレスを公表するつもりはない
問題になる前にこっそり直せばいいよ