アカウント名:
パスワード:
> 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。
これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたらアカウントをロックアウトすりゃよい、それだけの話過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト
これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。
簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな
そもそもこの攻撃では一度も認証に失敗してないんだぞ攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃認証出来るやつがする以上、認証は普通に成功する、実際にした
単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ
いや認証失敗してるけど
100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだましてMFAを突破してるんやで
> 権利者は許可しないからいずれも失敗になる
許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だなそんなもん実装によるに決まってるだろ
例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、Windowsのrunasでは未入力キャンセルでは失敗にならんのだ
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
普通のやつらの下を行け -- バッドノウハウ専門家
ソーシャル・エンジニアリング (スコア:0)
> 最近ではMFA必須のシステムも多いが、こうしたヒューマンエラーを狙われてしまうと、それでも不十分かもしれない。
以前からソーシャル・エンジニアリングは非常に有効な手口だと言われていますね。
Re:ソーシャル・エンジニアリング (スコア:0)
これは簡単な話で、ユーザーIDとパスワードが合っててMFAに進んだけどMFAを突破できなかったことが一定の基準で続いたら
アカウントをロックアウトすりゃよい、それだけの話
過去1時間に3回失敗してて4回目失敗したら、アカウント3時間ロックアウト
これでいい。MFAが失敗なんてレアと考えれば、24時間ロックアウトでもよい。
Re:ソーシャル・エンジニアリング (スコア:3, すばらしい洞察)
簡単だと軽率に思って失敗n回でロックというよくある対策をしたものの、攻撃を理解してないから意味をなさないという例だな
そもそもこの攻撃では一度も認証に失敗してないんだぞ
攻撃者は通知を送りまくって認証出来るやつに認証するというアクションを取らせる攻撃
認証出来るやつがする以上、認証は普通に成功する、実際にした
単なる認証失敗回数による対策ではダメで、タイムアウトの取り扱いや、連続での通知要求に閾値を設けることなどを考えないとこの攻撃は防げないのよ
Re: (スコア:0)
いや認証失敗してるけど
100回連続でMFAさせて(権利者は許可しないからいずれも失敗になる)認証疲れになったところで
電話をかけ、「システム不具合で連続で飛んじゃってる、直すのでいったん承認してくれ」と言ってだまして
MFAを突破してるんやで
Re: (スコア:0)
> 権利者は許可しないからいずれも失敗になる
許可しない=失敗になる、だと軽率に思って失敗n回でロックというよくある対策をしたものの、システムを理解してないから意味をなさないという例だな
そんなもん実装によるに決まってるだろ
例えば、LinuxのPAM(tally2.so)ならsudoなりした時点で未入力キャンセルでも失敗になるが、
Windowsのrunasでは未入力キャンセルでは失敗にならんのだ