パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

「パスワードは複雑さより長さが大切」 FBIが指南」記事へのコメント

    • > 一定数のログイン失敗に対しユーザーアカウントをロックするような仕組みを導入しているシステムもあるが、これはサービス拒否攻撃につながるため行うべきではない

      なんか、ここ引っ掛かりますね。
      スマホではほとんどが数字6桁だけのパスコードですが、一定数のログイン失敗でログインできなくなり、そのシステムをFBIとかが解除するのに苦労していたと思うのですが。
      それはWebサービスじゃないかゃら拒否攻撃がしにくいというのは尤もだけど、Webでも対処方法を考えられる気がするんですよね。(私には考えられないけど)

      親コメント
      • by Anonymous Coward

        スマホは通常、不特定多数が触れないし、一定時間経過すれば自動でロック解除されるでしょう。
        それでも、いたずらで47年間もロック [rocketnews24.com]されて平気な人は少ない。

        世の中、パスワード失敗でアカウントロックするのは良いけど、電話でロック解除どころか、パスワードリセットするみたいなソーシャルハックの入り口を作る所もあります。
        ロックアウトするのは良いけど、「ロックアウト機能」が悪用された場合の対処手段や、ロックアウトからの回復手順に適切な手順が設計・構築・運用されているのかは要注意だと思います。
        そっちから攻めたら秘密の質問みたいに実は簡単に突破できるみたいなパターンが有り得るので。

        • by Anonymous Coward

          そもそもパスが十分に長く安全な物であれば、
          長大なロックアウトなんて必要ないよね。
          一試行に合計数秒かかる程度の、
          ロックアウトとも呼べない些細なウェイトだけで十分機器寿命以上の時間を稼げる。

          逆に、ロックアウトするならパスは非常に短い物でも安全性を確保できる可能性がある。

Stay hungry, Stay foolish. -- Steven Paul Jobs

処理中...