またまた、某所にてアプリケーションのブルートフォース対策の文書を読んでいたんだけど、数回連続してパスワードを間違えたら、アカウントをロックアウトする仕組みを組み込む。なんて、記述があったので、思い立った疑問。
そのアプリケーションを使っている特定のユーザーのパスワードを盗み出すというのであれば、これは有効だとは思うんだが、そのアプリケーションを使っているユーザーなら誰でもいいや、ってことになると、この対策って無意味だよねぇ。
だって、パスワードを固定して、ユーザーを変えていけば、ロックアウトしないんだから。ま、最もこんなこと、ログさえきっちり監視しておけばすぐに怪しいって分かるけどなw
とはいえ、大規模(千とか万の単位のユーザがいるアプリ)だったら、そのうち１割ぐらいは簡単なパスワードを使っているだろうし、結構パスワード固定によるブルートフォースって、攻撃する側にとって有効だと思うんだよねぇ。
だから、ブルートフォース対策としては、難しいパスワードしか受け付けないという仕様だと思うんだけど、どうだろう?