昨今、不正ログインによる情報漏洩のニュースが目立ちます。
いくら自サイトでパスワードを不可逆暗号化しても、他サイトで暗号化対策をしておらず、そこから生のIDとパスワードが漏洩されたら、お手上げになってしまいます。
パスワードの使い回しが根本であるとはいえ、これだけ世の中にログイン要求するサイトが多いと、カスタマにパスワードを別々にするよう促しても効果は期待できないかと思います。
リスト型攻撃などの不正ログインに対する効果的な防御方法はあるのでしょうか?
皆さんの知恵、ご意見を伺いたいです。
気になる質問をクリップする
クリップした質問は、後からいつでもMYページで確認できます。
またクリップした質問に回答があった際、通知やメールを受け取ることができます。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
回答4件
0
teratailもそうですがサイトによっては、twitterログインでも許すというのも方法だと思います。
他のサイトのパスワード管理の責任を負うくらいなら、他のサイトのIDを使うというのは良い方法だと思います。
もちろん、セキュリティのレベルによって面倒臭い方法をとる必要があるとおもいますが、不要なデータを持たないというのがセキュリティ上一番よい方法ではないかと思います。
投稿2015/07/19 16:00
総合スコア2883
0
インターネットバンキングではサービスによってですがワンタイムパスワードの利用が勧められている場合があります。以下のようなもの。
https://idprotect-jp.vip.symantec.com/
上記はソフトウエアですがハードウエアで行う場合もあります。
投稿2015/07/19 11:34
総合スコア1151
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
0
ベストアンサー
二段階認証を強制することが効果的でしょうが、まだまだ現実には難しいでしょう。稚拙ながら、それ以外の方法について記載します。
-
パスワードを一定回数を間違えた場合のアカウントロック。ただ、単なるいたずらもあるので、回数等やロック時間、解除方法は考慮が必要です。ただし、これはリストアタック防止と言うよりブルートフォースアタック防止になりますけど、昔からある有効な方法です。
-
特定IPアドレスから一定回数ログイン失敗(異なるアカウントであってもカウントする)した場合に、CAPTCHA等でボットでないことを確認。攻撃者は乗っ取ったパソコンでツールを使ってリストアタックすることがほとんどですが、1アカウントに付き1回しか試行しませんので、1.の方法はとれません。そこで、アカウントが別でもIP単位で失敗をカウントすることが重要です。余りに失敗が多い場合はIPブロックしてもいいですが、あまりやりすぎると相手が企業や学校などのプロキシ経由の場合に誰も入れなくなってしまいます。ここら辺も考慮が必要です。
-
あり得ないスピードでのログインしたら、ブロック。攻撃者は、画面を表示してユーザ名を入れてパスワードを入れるまでに0.1秒かからないとか人間ならあり得ないスピードでログインしてきます。ただ、これだと利用者が自動ツールを使えなくなるので、別途何らかのAPIは用意しておくべきでしょう。
なお、利用者へのロック通知をメールで自動にすることは控えましょう。攻撃者がそのメール通知を装うこともあります。利用者には前回ログインしたIPを表示するとか、そういった事は有効かも知れません。
以上について、ログを取る、監視する、攻撃と判断した場合は管理者に通知するが大切です。状況によっては該当のIPアドレスを手動でブロックも必要になります。二段階認証でも使用しない限り、リストアタックを完全に防ぐことは不可能です。如何に検知して、被害の拡大を防ぐのかが重要になります。また、攻撃側のツールも進化してきており、上の方法で100%検知できるわけではないことも念頭に置いておくべきです。
本格的に商用サービスとして始めるなら、セキュリティを専門に扱っている会社にコンサルを依頼するのもひとつです。監視人員の人件費もかかりますし、その分お金はかかりますが、信頼と安心を金で買えるのですから安い物です。個人レベルであれば、上記と似たようなことはGoogleなどの大手はどこでも実施していることなので、外部に認証を委任するのが一番早いと思います。中途半端に自分で実装して攻撃を許してしまうよりは遙かにましです。
投稿2015/07/19 22:50
総合スコア21733
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/07/20 03:32
0
日本国内のユーザーに限定するなら、ウェブサーバー側で海外からのアクセスを遮断してしまうのも一つの方法です。
投稿2015/07/19 16:13
総合スコア1151
あなたの回答
tips
太字
斜体
打ち消し線
見出し
引用テキストの挿入
コードの挿入
リンクの挿入
リストの挿入
番号リストの挿入
表の挿入
水平線の挿入
プレビュー
質問の解決につながる回答をしましょう。 サンプルコードなど、より具体的な説明があると質問者の理解の助けになります。 また、読む側のことを考えた、分かりやすい文章を心がけましょう。
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2015/07/19 18:23
2015/07/20 05:01
2015/07/20 13:19