アカウント名:
パスワード:
同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
bot使っているにしろ、弱いったって辞書アタックで数百回レベルの認証を実行される訳だから、好き勝手やらせている方が悪いし。何十回も認証してくるIPは数時間とか数日とか認証不可にした方がいいよ。
> 同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
例えば、appl○IDとか、毎日のように不正ログイン通知がbotから飛んできます、紐付けのないメアドに。正しい通知も、ゴミに埋もれると見落とすこともあるので、痛し痒しで
確かにその手のスパムは多いですが、基本的にログイン時にしか受け取らない物だから誤解は生じにくいですし、無関係なタイミングで送られて来た物はスパムか第三者のアタックなので最悪無視でも大きな影響はありません。
改良は必要だと思いますが、大筋では悪く無いアイディアでは無いかと。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
アレゲは一日にしてならず -- アレゲ研究家
弱いパスワードも問題だが (スコア:0)
同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
bot使っているにしろ、弱いったって辞書アタックで数百回レベルの認証を実行される訳だから、好き勝手やらせている方が悪いし。何十回も認証してくるIPは数時間とか数日とか認証不可にした方がいいよ。
Re: (スコア:2, 興味深い)
> 同じIDに対して一定回パスワード認証の実行があったら、登録されたアドレスにメール送って、それで再認証するまで一切に試行は認めないようにしてくれないか?
例えば、appl○IDとか、毎日のように不正ログイン通知がbotから飛んできます、紐付けのないメアドに。
正しい通知も、ゴミに埋もれると見落とすこともあるので、痛し痒しで
Re:弱いパスワードも問題だが (スコア:0)
確かにその手のスパムは多いですが、基本的にログイン時にしか受け取らない物だから誤解は生じにくいですし、無関係なタイミングで送られて来た物はスパムか第三者のアタックなので最悪無視でも大きな影響はありません。
改良は必要だと思いますが、大筋では悪く無いアイディアでは無いかと。