アカウント名:
パスワード:
8文字以上のパスワードしか受け付けないようにしたり、記号を必須にしたりすれば、現実問題としてパスワードの使い回しがより頻繁に行われるようになるだけ。IDがメールアドレスならば、リスト型アカウントハッキングが余計に増えます。
もっと現実的な対策として、私は、次のようなポリシーを提案します。
ランダム(暗号論的擬似乱数生成器もしくは現実的にはそれと類する推測不可能性を持つと思われるものに限る。某ネットバンクやJAL・ANAのような連番の数字は論外)な英数字のID(最低8文字)を管理側が一方的に割り当てる。 そして、ユーザーによる任意の文字列への変更は認めない
IDが推測不可能であれば、リバースブルートフォースアタックも成立しません。
推測可能なIDあれば探索範囲を狭くできますが、推測不可能なIDでも文字通り「ブルートフォース」でアタックすることはできますよね? どうしてリバースブルートフォースアタックは成立しないのでしょうか?
さらにパスワードが4文字なら、それこそリバースブルートフォースアタックの恰好の餌食なんでは?
アタックをしかけること自体は当然可能ですが、それにより不正アクセスを成立させることのできる確率は極めて低く現実的ではないので、「リバースブルートフォースアタックも成立しません」と書きました。
推測不可能なIDというのは、例えば、次のようなものです。これは、ランダムな文字種50文字(英数記号から視認した際に紛らわしい文字を排除)の10桁です。
ユーザーID: K9eJP@N4Ae
5010 = 97,656,250,000,000,000 通りあります。
Web経由で、毎秒何千回もログインを試みるのは現実的ではありませんので(普通のWebサーバは、同一IPアドレスからの大量のWebアクセスは、DoSと判断してブロックする設定にしてあります。BOTを使って多数のIPアドレスを使い分けたとしても限度があります)、仮に、ユーザーIDだけで認証していたとしても(パスワード無し)、破ることができる確率は天文学的に低くなります。
更に、最低4桁だとしてもパスワードもあれば、リバースブルートフォースアタックが成功する確率は更に低くなり、現実的には不可能と言えます。
「ブルートフォースアタック」については、そもそもユーザーIDを知っていることが前提となりますので(IDを固定してパスワードを変える攻撃のため)、書き留めておいたユーザーIDを見ることのできる立場の人しかできませんし、 #2659341 に書いたように、4回間違えたらロックする仕様ですから、仮に家族や同僚などのIDを知ることができる人が、ブルートフォースアタックをしたとしても、ほぼ失敗します。(もし、物理的にPCに接触できる立場ならば、キーロガーを仕掛けた方が効率的です)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家
ランダムなID(変更不可)を割り当てれば解決。パスワードは数字4桁で十分。 (スコア:1)
8文字以上のパスワードしか受け付けないようにしたり、記号を必須にしたりすれば、現実問題としてパスワードの使い回しがより頻繁に行われるようになるだけ。IDがメールアドレスならば、リスト型アカウントハッキングが余計に増えます。
もっと現実的な対策として、私は、次のようなポリシーを提案します。
ランダム(暗号論的擬似乱数生成器もしくは現実的にはそれと類する推測不可能性を持つと思われるものに限る。某ネットバンクやJAL・ANAのような連番の数字は論外)な英数字のID(最低8文字)を管理側が一方的に割り当てる。
そして、ユーザーによる任意の文字列への変更は認めない
Re:ランダムなID(変更不可)を割り当てれば解決。パスワードは数字4桁で十分。 (スコア:0)
IDが推測不可能であれば、リバースブルートフォースアタックも成立しません。
推測可能なIDあれば探索範囲を狭くできますが、推測不可能なIDでも文字通り「ブルートフォース」でアタックすることはできますよね?
どうしてリバースブルートフォースアタックは成立しないのでしょうか?
さらにパスワードが4文字なら、それこそリバースブルートフォースアタックの恰好の餌食なんでは?
Re:ランダムなID(変更不可)を割り当てれば解決。パスワードは数字4桁で十分。 (スコア:1)
アタックをしかけること自体は当然可能ですが、それにより不正アクセスを成立させることのできる確率は極めて低く現実的ではないので、「リバースブルートフォースアタックも成立しません」と書きました。
推測不可能なIDというのは、例えば、次のようなものです。これは、ランダムな文字種50文字(英数記号から視認した際に紛らわしい文字を排除)の10桁です。
ユーザーID: K9eJP@N4Ae
5010 = 97,656,250,000,000,000 通りあります。
Web経由で、毎秒何千回もログインを試みるのは現実的ではありませんので(普通のWebサーバは、同一IPアドレスからの大量のWebアクセスは、DoSと判断してブロックする設定にしてあります。BOTを使って多数のIPアドレスを使い分けたとしても限度があります)、仮に、ユーザーIDだけで認証していたとしても(パスワード無し)、破ることができる確率は天文学的に低くなります。
更に、最低4桁だとしてもパスワードもあれば、リバースブルートフォースアタックが成功する確率は更に低くなり、現実的には不可能と言えます。
「ブルートフォースアタック」については、そもそもユーザーIDを知っていることが前提となりますので(IDを固定してパスワードを変える攻撃のため)、書き留めておいたユーザーIDを見ることのできる立場の人しかできませんし、 #2659341 に書いたように、4回間違えたらロックする仕様ですから、仮に家族や同僚などのIDを知ることができる人が、ブルートフォースアタックをしたとしても、ほぼ失敗します。(もし、物理的にPCに接触できる立場ならば、キーロガーを仕掛けた方が効率的です)
Re: (スコア:0)
(10桁・JALの2700万人の場合)
実際にはもっと高い使用率の暗証番号があるし、逆に毎秒4回でもこれだけ長期に昼夜関係なく回してたら気付かれる可能性もあると思うが。
金融みたいなクリティカルなもの以外で、大量流出は難しいと考えればそれなりに十分な強度かな?
まあ再発行とかでどんどんID食い潰す気もするが。