ブルートフォース対策にアカウントロック機能を実装する→閾値が難しい。逆手に取ってアカウント停止目的の攻撃が来る可能性も #sitw2009
2013-09-28 14:09:29アカウントロックも有効だけど閾値とか間違えると、悪意を持って他人のアカウントでログインミスってロックかけていくと実質サービス無効にできちゃう #sitw2009
2013-09-28 14:09:57銀行で数が4ケタとかでパスワードの価値が低い? -> しかし銀行は他のところで防いでたりもする(ワンタイムパスとか)のでそこは大丈夫かも #sitw2009 [Sokutenable]
2013-09-28 14:11:28オンラインバンキングはパスワード以外のセキュリティ(ワンタイム暗号入力など)があるのでパスワード自体の価値が小さい。ジャパンネット銀行は歴史が長く利用履歴の完全記録など不正アクセスに対する防御策が多い #sitw2009
2013-09-28 14:14:25定期変更で拡大を防いでも,変更までに情報が盗まれてたら意味がないのでは? -> 早期発見,対応のほうが重要. #sitw2009 [Sokutenable]
2013-09-28 14:16:02結論:不便を強いてパスワード定期変更をするよりパスワードの複雑性向上とパスワード以外のアクセス制御、不正アクセスの早期発見に力を注いだ方が良い #sitw2009
2013-09-28 14:16:28パスワード定期変更の事例:定期的にIDとPASSを忘れたという問い合わせが多く来てIT担当の仕事が一杯一杯に #sitw2009
2013-09-28 14:17:47そういえば,電話だけでパスワード忘れた人のためのフォームを活用してアカウントを盗んだ話もありましたね #sitw2009 [Sokutenable]
2013-09-28 14:17:51あるサービスを攻撃してIDとパスワードのリストを手にいれたら他のサービスでそのリストをつかい攻撃すると,かなり攻撃が成功しやすいというレポートがあった #sitw2009 [Sokutenable]
2013-09-28 14:19:47パスワード管理ソフトを使って長くて複雑なパスワードを管理するとよいかも -> 誰でもパスワード管理ソフト使えるか -> (場合によっては)手帳や画面に付箋もありでは? #sitw2009 [Sokutenable]
2013-09-28 14:22:45当たり前だがパスワードはサイトごとに変えるべき。パスワード管理ソフトは勿論、手帳でも良いし、最悪PCに付箋を貼っても良い。ネット越しの攻撃者に絶対バレないので手書きメモも有効な手段の一つとなる #sitw2009
2013-09-28 14:22:49場合によっては手帳やディスプレイにパスワード貼るのもアリ――家の中くらいだったら見られないから? #sitw2009 [詠人不知]
2013-09-28 14:23:06手帳を盗まれないようにする,もし盗まれてもパスワード先頭n文字は手帳にメモらずそこだけを覚えて共通にしておくなど運用でセキュリティ #sitw2009 [Sokutenable]
2013-09-28 14:23:18セキュリティ保護は「セキュリティを破られた」という被害者意識だけでは無く「セキュリティを破られてしまった」という当事者意識を持つ。車とドライバーの関係と同じ #sitw2009
2013-09-28 14:24:28言われ続けてることが正しいという根拠にはならない, 情勢は変わるので正しいどころかマイナスにもなる #sitw2009 [Sokutenable]
2013-09-28 14:25:13Torのゲートウェイ(出口)のipは公開されてるので,そこのIPをファイアウォールでブロックするところもある #sitw2009 [Sokutenable]
2013-09-28 14:27:25