HOME»情報処理安全確保支援士掲示板»令和2年 午後II 問1 設問4 (1)と(2)
投稿する
[0842] 令和2年 午後II 問1 設問4 (1)と(2)
春で受験二回目さん(No.1)
令和2年 午後II 問1 設問4 (1)と(2)
についての質問です。
サイトRのパスワード失念時の処理についての問題点を答える問題と、その改修策を答える問題です。
私は問題点について、そもそもブルートフォース対策を実装していないこと自体が問題なのではないかと思い、それを問題点として記述しました。
ブルートフォースでも別解となるのか?そもそも処理として対処できるものなのか?(WAFなどがないとだめ?)そこがよくわかりません。
皆さんはどう思いますでしょうか?ご意見お聞かせいただけると嬉しいです。
についての質問です。
サイトRのパスワード失念時の処理についての問題点を答える問題と、その改修策を答える問題です。
私は問題点について、そもそもブルートフォース対策を実装していないこと自体が問題なのではないかと思い、それを問題点として記述しました。
ブルートフォースでも別解となるのか?そもそも処理として対処できるものなのか?(WAFなどがないとだめ?)そこがよくわかりません。
皆さんはどう思いますでしょうか?ご意見お聞かせいただけると嬉しいです。
2022.04.05 14:18
pixさん(No.2)
★SC ダイヤモンドマイスター
ブルートフォース攻撃に対して、なんらかの措置をすることにより
ある程度の問題の軽減はできると思われます。
ですが、それは今回のように攻撃がブルートフォース攻撃だった
場合に限ります。
他のサイトから会員番号・誕生日が流出し、それを用いた
リスト攻撃の場合は効果がありません。
そのため、対策として根本を修正すべきであり、
「パスワードリセットのURLを、登録済みメールアドレスだけに送る」に
なると思われます。
ある程度の問題の軽減はできると思われます。
ですが、それは今回のように攻撃がブルートフォース攻撃だった
場合に限ります。
他のサイトから会員番号・誕生日が流出し、それを用いた
リスト攻撃の場合は効果がありません。
そのため、対策として根本を修正すべきであり、
「パスワードリセットのURLを、登録済みメールアドレスだけに送る」に
なると思われます。
2022.04.05 15:28
春で受験二回目さん(No.3)
抜本的な対策が重要ということですね、、、ほかの問題にも活かせそうです!
ご回答ありがとうございました!
ご回答ありがとうございました!
2022.04.07 12:22