maitake219

とあるSEの徒然なるweblog

認証

アカウントロック

何度もログインに失敗した場合、対象のIDをアカウントロックし、一定時間ログインを拒否する。これにより、不正なログイン施行を抑制するとともに、パスワードリスト攻撃への耐性を上げることが出来る。ログイン失敗時に「パスワードが誤っています。」と親切にメッセージを表示したくなるが、攻撃者にIDが存在することを知らしめることになる。利用者のためにも、メッセージは「IDまたはパスワードが誤っています。」とした方が良い。

ブルートフォース攻撃

可能な組み合わせでログイン施行を繰り返す。基本的な対策は、同一IPアドレスから複数のIDへのログイン施行を検知した場合にそのIPアドレスからのログインを遮断することである。