アカウント名:
パスワード:
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。
そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。
ちょっと補足的な文を
(管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。
他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。
つまりログインログをちゃんと取っていれば判定は容易にできるのです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
物事のやり方は一つではない -- Perlな人
うちが悪いんじゃない、他社のせいだ (スコア:1)
> 調査の結果、他社サービスから流出したメールアドレスとパスワードを悪用して不正ログインが行われていると考えられるとのこと。
どうやったら、他社から漏れたって分かるんだろう。
Re: (スコア:3, 参考になる)
自分のところからリストが漏れたのなら入力エラーのとき自社の顧客リストに存在する(でもパスワードが違うのでエラー)ユーザーIDでログインを試行した割合が多くなるはず。
そうではなく他社のところからリストが漏れたなら入力エラーのとき自社の顧客リストに存在しないユーザーIDでログインを試行した割合が多くなるはず。
Re: (スコア:0)
ちょっと補足的な文を
(管理方法にもよるが)そもそも不正侵入してIDとパスワードだけ盗む方がおかしい。その場合他の情報とセットで盗めばいいわけで、わざわざアタックする必要が無い。
仮にIDとパスワードだけ盗み(もしくはポイント等の不正利用の場合)で、パスワード変えろ通知がなされていない場合、漏れてからアタックするまでの間に偶々変えたユーザーをのぞきほぼ100%ログインに成功するはず。
他サービスから流出した場合やブルートフォース攻撃であれば、ログイン成功確率が上と比べてかなり低く(1%とか)なる。
つまりログインログをちゃんと取っていれば判定は容易にできるのです。
Re:うちが悪いんじゃない、他社のせいだ (スコア:0)