パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

リバースブルートフォース攻撃で狙われやすい暗証番号は? RockYouから流出したパスワードから解析」記事へのコメント

  • 異常アクセス数の検知もしてないようなシステムなら、どんな暗証番号にしてても多少前後しようがすぐ当たるよ。

    • by Anonymous Coward

      検知システムくわしくないんだけど、パスワードスプレー攻撃でも検知はできるもの?アカウント一件あたりの試行回数は少なくなるんですよね?

      • by Anonymous Coward

        リバースブルートフォース対策は、同一IPアドレスからの失敗繰り返しで、そのIPアドレスを遮断する、とかですね。
        で、特定IPアドレス遮断は、DDoSのようにアクセス元が分散されたらもう検知できない。

        そんな場合でも、ブラウザの指紋とか使えば対策できそうだけど、そういう検知をやってるところがあるかは知らない。
        攻撃側も本当のブラウザでアクセスするわけじゃないから、指紋が変わるようにリクエスト情報に乱数要素をいれたら、それでもどうしようもないかな。

        • by Anonymous Coward

          攻撃が始まったら失敗回数が跳ね上がるから検知はできるのでは。でも検知できたとしてどうするんだろう?
          ログイン止めたらサービス止めるのと同じだし。
          BOT群からのIPアドレス遮断を厳しくやると、BOTに寄生されたアホは自業自得としても、
          無関係のユーザがIPSごと影響が出そうだし、2chみたいな巻き添えと思われるアクセス拒否を経験したこともない。
          大手は常にそういう攻撃にさらされていると思うから、何かしら方法はあるんだと思うけど。

          • ログイン成功でも失敗でも1秒ぐらいは時間がかかるようにするだけでもだいぶ効果ありそう
            攻撃受けてるときならばもちょっと伸ばしてもいいか

            親コメント
            • by Anonymous Coward on 2020年09月17日 13時04分 (#3890632)

              同一IPならね。そうじゃないなら、リバースの場合は1回しかトライしないから遅延は効果ない。

              親コメント
              • 正規ユーザも含め全部遅らせるっていうアイデアです

                親コメント
              • by Anonymous Coward

                攻撃者は応答待って順序アクセスするわけじゃないし、
                Botネット使うならリンクを自分が張るわけでもない。
                司令をバラ撒いて成功報告を待つだけ。
                Botノード一つが処理するリクエスト数はたかが知れているので
                Botノード側のリンク数も問題にはならない。

                正規ユーザがログイン遅くて苛つくだけかと。

              • 単位時間あたりのクラック成功数がかなり減ると思いますよ

                親コメント
              • by Anonymous Coward

                単位時間あたりに開始する攻撃試行数が同じなら同じですよ。
                攻撃全体の開始から結果確定の開始までが遅延時間分遅くなるけれど、
                結果の確定が開始したら単位時間内に試行開始した数だけ結果が得られます。
                むしろサーバ側でのセッション数のほうが厳しくなるでしょうね。

                単位時間に受け付けるセッション数を制限する場合でも、
                正規ユーザは幾らか待たされた時点で別時間帯へ移動するので、
                ログイン試行数辺りの攻撃の比率が上がってしまいますね。
                正規ユーザが弾かれない状態っていうのは
                攻撃側の消費セッション数を超える許容セッション数を設定した時のみです。
                正規ユーザがまともに使えないなら攻撃者の為にサービスするような物ですし、
                正規ユーザが不便を受けないようなら既に攻撃者の需要は満たしているでしょう。

              • そら攻撃回数が同じならね

                親コメント
              • by Anonymous Coward

                ???
                同一IPアドレスからの多量ログイン要求とかは楽に弾けるから、
                ボットネットなどを使って分散して多量のログイン要求してるってのが前提だよね?
                その状況でログイン処理に1秒ディレイを入れると何がどうなって攻撃回数が減ると主張してるの?

                ボットネットのノード数より攻撃対象口座数の方が数倍以上のオーダで大きいと仮定するってーならそう言うべきだし、それ言わずに理屈は言わないけど攻撃回数が減るから効果があるんだ!とか言われても話になりませんがな。

            • by Anonymous Coward

              串経由だとIP判定は厳しい。
              認証エラー検知しても特定対象のみブロックは難しいしサービス停止はさすがに無理。
              認証後の時間設定しても
              攻撃者は多数のPC(もしくはツール?内で複数セッション)を使うだろうから
              n秒後に処理がずれるだけで
              正規ユーザに怒られない程度の遅延では対処としては弱いかも。

              同じパスワードで何度もアクセスしてますね、が難しいのも今回の苦労の点。

              • 全通り試すのに十分なぐらいセッションが使われてればそうなんですけど、
                100台とかで期待クラック時間が数分、とかの時は効きそうな気がしません?
                0.1秒が1秒になれば10倍クラックにかかる時間が伸びますし

                何なら「セキュリティ確認中です…」とか出して10秒かけたっていいかも

                親コメント
              • by Anonymous Coward

                ドラクエ10みたいなネトゲがそのパターン。攻撃者は並列処理でいくし、普通のユーザーがイライラするだけw

              • by Anonymous Coward

                こんなレベルで戦ってる人たちに10秒遅延させますねwwwwとか言ったら殴られるぞ。
                https://blog.ideamans.com/2019/03/web-performance-phrases.html [ideamans.com]

              • by Anonymous Coward

                たとえば工場のラインを想像してもらえると分かるけど、
                時間がかかる製品も稼働してしまえば時間がかかるのは最初だけで、
                その後は毎日生産何万台って事もできるわけ。

                今回はバッチなりなんなりでずーっとPC認証させておけばよいので
                ときどき様子見して成功した口座を犯人がログインして残高いっぱい引き出せば成功なの。
                10秒なんて痛くもないわけ。

              • by Anonymous Coward

                横からですまんが教えてやろう
                トライにかかる時間が1/100になれば同じ時間かけて攻撃されても被害は1/100になるんや、すごいだろう?
                1万件の被害が100件になる
                採算ラインを割るならもう攻撃もされなくなるんやで!!
                びっくりだよなぁ
                なんと工場もそうなんだ!!
                大量にラインがあっても制作にかかる時間が1分のものは100分のものより100倍もたくさん作れるんだよ
                これまたびっくりだよね
                だからトヨタとかも速度を重視してるんだ
                よくわかったかな?

              • by Anonymous Coward

                ぜんぜんわかんない
                #3890973は工場のラインのこといってるんだろうなってわかる。工場のラインって書いてるしな

アレゲは一日にしてならず -- アレゲ研究家

処理中...