ÙÉHARASHIGEÒn
- いいね数 1,387,580/1,216,821
- フォロー 4,875 フォロワー 1,047 ツイート 414,037
- 現在地 ・∀・),Kyoto,From Japan,☄
- Web http://twilog.org/OGESHISTYLE
- 自己紹介 をげし@京都の片田舎なのです。最近だいぶ呟いてますが、基本的に作家さんやら気になる方々の追っかけ用アカウントなのです:〉むかしはu-ogeshiなPNやハンドルであんな芸風なのでした。で、いまだに。http://ha4.seikyou.ne.jp/home/u-ogeshi/ http://favolog.org/OGESHISTYLE
2013年12月19日(木)
ぱいんとさいず@MZDAO//広島合同祭 @pintsize_tks
電の抱き枕がもうすぐ完成(^o^)1/18の俺の嫁in大阪と翌日コミックシティ福岡で出す予定です\(^o^)/春には改も販売予定です! pic.twitter.com/c2IagySkES
タグ:
posted at 00:50:05
非公開
タグ:
posted at xx:xx:xx
非公開
タグ:
posted at xx:xx:xx
非公開
タグ:
posted at xx:xx:xx
TAKAGI, Hiromitsu @TakagiHiromitsu
④二要素認証の導入のところに「事前に登録した質問事項への回答」方式が挙げられているのですが、そこにも「利用者が使い回しをしている可能性が考えられるため、定期的な変更が必要です。」と書かれており、これには唖然とせざるを得ません。
パスワードはランダム生成すれば無限に作れますが、
タグ:
posted at 19:50:10
TAKAGI, Hiromitsu @TakagiHiromitsu
…パスワードはランダム生成すれば無限に作れますが、「事前に登録した質問事項への回答」をサイト別に作成して定期的に変更せよというのは不可能です。
現実的な対策なのか検討したようには見えません。単に、局所的な論理の辻褄合わせで安易にこういう対策が書かれているようです。
タグ:
posted at 20:00:45
TAKAGI, Hiromitsu @TakagiHiromitsu
⑤こういう記述もあります。「なお、最近では(略)Man in the Browser攻撃がワンタイムパスワードを突破している例もあり、二要素認証を導入していれば必ずしも安全というわけではないケースもあります。本対策集に記載している対策を複数組み合わせて実施していただくことが重要」
タグ:
posted at 20:02:59
TAKAGI, Hiromitsu @TakagiHiromitsu
これは二重に間違っています。
Man-in-the-Browser攻撃(MITB)の被害を防ぐには、この文書にある対策を「複数組み合わせて」も、無限に組み合わせても、防ぐことはできません。
そもそも、パスワードリスト型不正ログインを想定しているときに、MITBは無関係です。
タグ:
posted at 20:06:06
TAKAGI, Hiromitsu @TakagiHiromitsu
たしかに、「二要素認証を導入すれば(あらゆる攻撃を)防げる」に対しては、MITBの脅威があると注記せねばなりませんが、ここでは、「二要素認証を導入すればパスワードリスト型不正ログインを防げる」という話をしているのですから、MITBを持ち出す必要がありません。
タグ:
posted at 20:08:33
TAKAGI, Hiromitsu @TakagiHiromitsu
「複数組み合わせて」というのも典型的によくある安直な記述です。ある対策を挙げつつ、その限界も書いたときに、結局どうすればいいのか、どう整理(前提などを)すればよいか、本人がわからなくなってしまったときに、「複数組み合わせて」と口走ってしまうという事例が多々見られます。
タグ:
posted at 20:12:22
TAKAGI, Hiromitsu @TakagiHiromitsu
⑥「アカウントロックアウト」のところの論理もおかしいです。「一定の閾値以上の認証エラーが発生した場合に、そのアカウントを一時停止する措置を講じることも有効」とするその根拠として「リスト型攻撃は成立件数以上の試行が行われているため(参考5参照)」としているのですが、その「参考5」…
タグ:
posted at 20:17:27
TAKAGI, Hiromitsu @TakagiHiromitsu
…「参考5」のデータは、被害企業A社で試行件数が24,000に対し成立件数が77で成立率は0.32%だったという表なのですが、これは、同一アカウントに対する試行数ではないので、アカウントロックが効果的とする理由にはなっていません。(アカウントロックはこれとは無関係に有効です。)…
タグ:
posted at 20:21:34
TAKAGI, Hiromitsu @TakagiHiromitsu
…むしろ、この表は、次の「特定のIPアドレスからの通信の遮断」を有効とする根拠に使う資料でしょう。リスト型攻撃の成立件数が低いから異常検知が可能なのだということこそを言うべきところです。それなのにそのことは書かれておらず、単に「大量のアクセスが発生した場合」と書かれており、その…
タグ:
posted at 20:25:17
TAKAGI, Hiromitsu @TakagiHiromitsu
…そのため、「特定のIPアドレスから閾値以上のアカウントへのログイン要求の通信が発生した場合に」遮断するという対策が書かれてしまっています。そんなことをすれば当然、脚註16
の通り「善良な利用者の通信も遮断してしまう可能性があるため注意が必要です。」となるわけです。そうではなく…
タグ:
posted at 20:31:59
TAKAGI, Hiromitsu @TakagiHiromitsu
…そうではなく、閾値を超えるログイン認証の失敗が発生した時に、遮断すればよいのです。せっかく示された「不正ログインの成立率」の表は、そのような対策の根拠として活きてくるデータなのに、使われていません。
また、「注意が必要です」というのはどのように注意すればいいのでしょうか。
タグ:
posted at 20:36:56
TAKAGI, Hiromitsu @TakagiHiromitsu
⑦利用者が予め登録しているメールアドレスにワンタイムパスワードを送付するという話が書かれているのですが、そこには「ID・パスワードが流出している可能性を考慮して、フリーメールのアドレスの登録の回避を推奨します」とあり、「フリーメール」が締め出されているのですが、理由がありません。
タグ:
posted at 20:44:53
TAKAGI, Hiromitsu @TakagiHiromitsu
⑧脚註18に通信の秘密のことが書かれていますが、これもおかしいです。
「ログイン時に使用された発信元のIPアドレスについても通信の秘密に含まれます。」と書かれており、そんなばかなと思うところですが、その直後にはこう書かれています。「このため、…
タグ:
posted at 20:49:00
TAKAGI, Hiromitsu @TakagiHiromitsu
…「このため、ログインに係る通信の当事者ではないISPなどが、ログイン時に4の(2)ないし(3)記載の対策を講ずる場合には、当該ログインに係る通信の当事者であるサービスを提供する事業者の同意に基づく必要があります。」
そう、当該ログインのアクセス管理者は通信の当事者であって、…
タグ:
posted at 20:51:46
