Kush's Wiki

Device Cookies

commited date: 2026-01-11

#Security #Authentication

ブルートフォース攻撃を軽減するための認証ロック機構。ユーザーが正常に認証された後、そのブラウザに発行される特別なCookie

従来のアカウントロックアウトと比較して以下の利点がある

DoS攻撃に対して耐性がある
IPアドレスではなくブラウザCookieを基準とするため予測可能で実装しやすい
ボットネットや代理経由の攻撃に対応しやすい

認証リクエスト時に有効なDevice Cookieの有無を確認し、未信頼クライアント（Device Cookieなし）からの認証試行回数を記録してロックアウトを実施する

実装にはJWT、Redis/Memcachedによるロックリスト管理、HMAC署名による改ざん防止などが用いられる

OGP Image

Fetching description...

Blocking Brute Force Attacks

#Security #Authentication #Blog ブルートフォース攻撃を防ぐための対策をまとめたOWASP Communityの記事主な対策方法アカウントロックアウト機能（DoS攻撃に悪用されるリスクに注意） Device Cookies（デバイスごとの認証ロック機構、DoS攻撃に対して耐性がある）パスワード検証時の遅延追加 IPアドレスベースのレートリミット CAPTCHAの導入複数の秘密の質問による認証強化単一の技術では回避されやすいため、複数の対策を組み合わせることが重要 https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks