アカウント名:
パスワード:
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
アカウントに対しての認証ミスを起こした回数を記録一定回数を失敗したら対象アカウントをロックでも簡単にロックしちゃうと悪戯ロックが流行るので、その対応も実装しようとすると面倒かも
> アカウントに対しての認証ミスを起こした回数を記録> 一定回数を失敗したら対象アカウントをロック
それはみんなが当然やってる普通のブルートフォース攻撃の対策な。今問題になっているのはリバースブルートフォース攻撃。こっちは毎回違う接続元から毎回違うアカウントに対して攻撃を掛けるから、接続元やアカウントでロックアウトはできない。
ロックしてしまえばいいじゃない。アカウントではなく接続元を。毎回違うって言ってもボットネットのリソースも無限ではないし。
銀行側にどんな権限があって接続元をロックできるんだよ。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy
今となっては過去の話 (スコア:0)
さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?
真面目に対策コードを作ろうとしたら大変そう (スコア:0)
アカウントに対しての認証ミスを起こした回数を記録
一定回数を失敗したら対象アカウントをロック
でも簡単にロックしちゃうと悪戯ロックが流行るので、その対応も実装しようとすると面倒かも
Re: (スコア:0)
> アカウントに対しての認証ミスを起こした回数を記録
> 一定回数を失敗したら対象アカウントをロック
それはみんなが当然やってる普通のブルートフォース攻撃の対策な。
今問題になっているのはリバースブルートフォース攻撃。
こっちは毎回違う接続元から毎回違うアカウントに対して攻撃を掛けるから、接続元やアカウントでロックアウトはできない。
Re: (スコア:0)
ロックしてしまえばいいじゃない。アカウントではなく接続元を。
毎回違うって言ってもボットネットのリソースも無限ではないし。
Re: (スコア:0)
銀行側にどんな権限があって接続元をロックできるんだよ。