-
- いいね!27
野生の男
@yasei_no_otoko
ブルートフォース対策にアカウントロック機能を実装する→閾値が難しい。逆手に取ってアカウント停止目的の攻撃が来る可能性も #sitw2009
2013-09-28 14:09:29
まつなが けい
@k_mats
アカウントロックも有効だけど閾値とか間違えると、悪意を持って他人のアカウントでログインミスってロックかけていくと実質サービス無効にできちゃう #sitw2009
2013-09-28 14:09:57
orumin
@orumin
銀行で数が4ケタとかでパスワードの価値が低い? -> しかし銀行は他のところで防いでたりもする(ワンタイムパスとか)のでそこは大丈夫かも #sitw2009 [Sokutenable]
2013-09-28 14:11:28
野生の男
@yasei_no_otoko
オンラインバンキングはパスワード以外のセキュリティ(ワンタイム暗号入力など)があるのでパスワード自体の価値が小さい。ジャパンネット銀行は歴史が長く利用履歴の完全記録など不正アクセスに対する防御策が多い #sitw2009
2013-09-28 14:14:25
orumin
@orumin
定期変更で拡大を防いでも,変更までに情報が盗まれてたら意味がないのでは? -> 早期発見,対応のほうが重要. #sitw2009 [Sokutenable]
2013-09-28 14:16:02
野生の男
@yasei_no_otoko
結論:不便を強いてパスワード定期変更をするよりパスワードの複雑性向上とパスワード以外のアクセス制御、不正アクセスの早期発見に力を注いだ方が良い #sitw2009
2013-09-28 14:16:28
野生の男
@yasei_no_otoko
パスワード定期変更の事例:定期的にIDとPASSを忘れたという問い合わせが多く来てIT担当の仕事が一杯一杯に #sitw2009
2013-09-28 14:17:47
orumin
@orumin
そういえば,電話だけでパスワード忘れた人のためのフォームを活用してアカウントを盗んだ話もありましたね #sitw2009 [Sokutenable]
2013-09-28 14:17:51
orumin
@orumin
あるサービスを攻撃してIDとパスワードのリストを手にいれたら他のサービスでそのリストをつかい攻撃すると,かなり攻撃が成功しやすいというレポートがあった #sitw2009 [Sokutenable]
2013-09-28 14:19:47
orumin
@orumin
パスワード管理ソフトを使って長くて複雑なパスワードを管理するとよいかも -> 誰でもパスワード管理ソフト使えるか -> (場合によっては)手帳や画面に付箋もありでは? #sitw2009 [Sokutenable]
2013-09-28 14:22:45
野生の男
@yasei_no_otoko
当たり前だがパスワードはサイトごとに変えるべき。パスワード管理ソフトは勿論、手帳でも良いし、最悪PCに付箋を貼っても良い。ネット越しの攻撃者に絶対バレないので手書きメモも有効な手段の一つとなる #sitw2009
2013-09-28 14:22:49
ている
@Tales_Tail
場合によっては手帳やディスプレイにパスワード貼るのもアリ――家の中くらいだったら見られないから? #sitw2009 [詠人不知]
2013-09-28 14:23:06
orumin
@orumin
手帳を盗まれないようにする,もし盗まれてもパスワード先頭n文字は手帳にメモらずそこだけを覚えて共通にしておくなど運用でセキュリティ #sitw2009 [Sokutenable]
2013-09-28 14:23:18
野生の男
@yasei_no_otoko
セキュリティ保護は「セキュリティを破られた」という被害者意識だけでは無く「セキュリティを破られてしまった」という当事者意識を持つ。車とドライバーの関係と同じ #sitw2009
2013-09-28 14:24:28
orumin
@orumin
言われ続けてることが正しいという根拠にはならない, 情勢は変わるので正しいどころかマイナスにもなる #sitw2009 [Sokutenable]
2013-09-28 14:25:13
orumin
@orumin
Torのゲートウェイ(出口)のipは公開されてるので,そこのIPをファイアウォールでブロックするところもある #sitw2009 [Sokutenable]
2013-09-28 14:27:25