一定回数の不正なパスワード入力後にアカウントを一時的または永続的にロックするブルートフォース攻撃対策
主な問題点
- DoS攻撃の標的になりやすい(攻撃者が大量のアカウントをロック可能)
- ユーザー名の列挙が可能(存在するアカウントのみがロックされる)
- ヘルプデスクへの負担増加
- 低速攻撃や複数ユーザー対象の攻撃に無効
アカウントロックアウト
-
Blocking Brute Force Attacks#Security #Authentication #Blog ブルートフォース攻撃を防ぐための対策をまとめたOWASP Communityの記事 主な対策方法 アカウントロックアウト機能(DoS攻撃に悪用されるリスクに注意) Device Cookies(デバイスごとの認証ロック機構、DoS攻撃に対して耐性がある) パスワード検証時の遅延追加 IPアドレスベースのレートリミット CAPTCHAの導入 複数の秘密の質問による認証強化 単一の技術では回避されやすいため、複数の対策を組み合わせることが重要 https://owasp.org/www-community/controls/Blocking_Brute_Force_Attacks
-
Device Cookies#Security #Authentication ブルートフォース攻撃を軽減するための認証ロック機構。ユーザーが正常に認証された後、そのブラウザに発行される特別なCookie 従来のアカウントロックアウトと比較して以下の利点がある DoS攻撃に対して耐性がある IPアドレスではなくブラウザCookieを基準とするため予測可能で実装しやすい ボットネットや代理経由の攻撃に対応しやすい 認証リクエスト時に有効なDevice Cookieの有無を確認し、未信頼クライアント(Device Cookieなし)からの認証試行回数を記録してロックアウトを実施する 実装にはJWT、Redis/Memcachedによるロックリスト管理、HMAC署名による改ざん防止などが用いられる https://owasp.org/www-community/Slow_Down_Online_Guessing_Attacks_with_Device_Cookies
-
DoS攻撃Denial of Service #Security リソース(サイト、アプリケーション、サーバー)を本来の目的で利用不可にすることを目的とした攻撃。C-I-Aの可用性を侵害する ネットワークパケット操作、プログラム脆弱性の悪用、リソース枯渇など多様な手段で実行される 主な攻撃手法 メモリ枯渇(ユーザー指定オブジェクト割り当て、セッションデータ過剰蓄積) CPU負荷増加(ループカウンター制御、バッファオーバーフロー) リソース解放失敗(ファイルロック、DB接続の未解放) アカウントロックアウト機構の悪用 ネットワーク帯域幅の飽和 対策としてレートリミット、入力検証、冗長性確保、グレースフルデグラデーションなどがある