パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Twitterでハッカーに優しい銀行が話題に」記事へのコメント

  • さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。
    磁気タイプのキャッシュカード偽造の可能性が残ってるぐらい?

    • by Anonymous Coward

      > さすがにもうリバースブルートフォース攻撃なんか通用しないでしょう。

      リバースブルートフォース攻撃は原理的にそもそも対策が難しいかと思うのですが、どうやって対策している想定でしょうか?
      せいぜい毎回3秒とかウェイトを入れて遅くするか、それこそ認証を全て二要素認証にするぐらいしか無いと思いますが。

      • Re: (スコア:4, 興味深い)

        元コメとは違う人ですが、ご指摘のようにリバースブルートフォースの完全な対策は困難です。

        単純なものなら、同一接続元からのログイン試行失敗回数でウェイトを置く、というのがありますが、接続元を分散させたり、間隔をおいて試行したりのパスワードスプレー攻撃までいくと、単純なルールでは対応しきれません。

        現実的には、さまざまな手法・条件を組み合わせて(システム全体のログイン失敗回数が急増しているとか、同一IDでのログイン試行時のUAや接続元地域が異なるとか、ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいかどうかチェックするとか)確率的に攻撃っぽいものを検出するしかないです。

        その上で、追加の認証を求めたり、反応を遅くしたりという感じですかね。

        • by Anonymous Coward

          > ログイン画面に仕込んだJavaScriptでマウスの動きが人間ぽいか

          これ銀行がやったら非難囂々なのでは?

          • by Anonymous Coward

            銀行のサイトのログイン画面でマウスの動きを読み取ってどういう問題があるんだ?
            なんでもセキュリティとかプライバシーとか言えばいいってもんじゃないと思うんだが

最初のバージョンは常に打ち捨てられる。

処理中...