web-dev-qa-db-ja.com

ユーザーのパスワードを無効にする前に、何回試行する必要がありますか?

ここで回避しようとしているのは、ユーザーのパスワードに対するブルートフォース攻撃です。そして、私は同じ分、時間、日、またはそれに類似したものであまりにも多くの試みがなされたときに彼のパスワードを無効にすることによってそれを行うことを考えています。 ユーザー資格情報は、Android appで出張中の会社の従業員向けです。

しかし、同時に、ユーザーが挿入するときにいくつかのミスをして、必要なく無効にしてほしくない。

いくらですか?または、代わりに、どのくらいの量で十分かをどのように判断しますか?

別の言い方をすると、ヘルプデスクに連絡する前にパスワードを挿入しているときに人間が犯す可能性のある最大の間違いは何でしょうか。

編集:認証メカニズムはネットワークを介して行われます。アプリは、適切なユーザーがログインすると、会社のサーバーから更新された情報を取得します。

6

この質問は、何年にもわたってStackExchangeネットワーク全体で何度も尋ねられてきました。回答の概要は次のとおりです。

  • この問題についての明確な研究はありません。
  • 金融業界でPCIに準拠する必要がある場合、制限は6回です。
  • 総当たり攻撃は、アルゴリズムを使用して認識できます。 このガイドに従って、自動パスワード試行を検出するアルゴリズムを作成します
  • 人間の攻撃者が被害者の知識に基づいてパスワードを推測することを防ぐために、アカウントロックアウトとパスワード試行の制限が設けられています。

推奨事項

  • Microsoftは4回以上10回以下の試行を推奨しています
  • 重複したパスワードの試行をカウントしないでください(おそらく、ユーザーは入力ミスと考えていました)。
  • プライマリパスワードについてパスワードのヒントを作成し、(弱い)セカンダリはありません
  • 信頼できる当事者がユーザーを保証できるようにして、ユーザーがパスワードを変更できるようにします。
  • 時間を増やしながらアカウントをロックする
  • ユーザーにパスワード規則を思い出させます。
  • アカウントを完全に無効にするのではなく、30分間ロックアウトします。
  • アカウントをロックする代わりに、追加のセキュリティの質問をユーザーに提示します。
  • CAPSロックがオンになっていることを確認します(ただし、モバイルでは問題ありません)。

完全な議論を参照してください なぜサイトは3回のパスワード試行の失敗後にロックを実装するのですか? Security.SEで。

私の個人的な推奨事項

私は、人々が頻繁に資格情報を忘れてしまい、システムを覚えておくほど頻繁にシステムを使用しないため、設計が不十分なシステムを扱っています。システムは、5回の試行が失敗した後(おそらく)、ユーザーアカウントを自動的にロックします。ロックを使用するには、私のチームのメンバーが管理コンソールにアクセスし、ユーザーパスワードを手動でリセットし、一時パスワードを使用して手動でメールを送信する必要があります。無駄な時間は恐ろしいですが、システムはベンダーによって提供されており、変更することはできません。

どちらのシステム、プロトコル、ワークフローを使用する場合でも、現場のユーザーがアカウントへのアクセスを復元するのに15分も待つ余裕がないようにする必要があります。したがって、セルフサービスの再アクティブ化プロセスを作成する必要があります。パスワードリセットリンクを含むメールをユーザーに送信するだけの簡単な場合もあります。

また、すべてのシステムステータスインジケーターを追跡します。

  1. 資格情報が受け入れられていません
  2. パスワードのリセット手順が記載されたメールが送信されました。
  3. アカウントがロックされるまでの残りの試行回数。
  4. アカウントロックの通知と次に何を期待するかの簡単な説明。
4
dnbrv

単にパスワードを無効にするのではなく、Androidが独自のシステムで使用するものと同様の戦略を実装する価値があります。

メモリからは、5分のロックアウトを開始する前に、5回の試行のルールを使用していると思います。別の5回の失敗した試行が発生した場合、ロックアウト時間は増加します(その2回目の試行に失敗したことがないので、何をすべきかわかりません)。

3
Andrew Martin

たぶん、別のことを試してみるべきですか?たとえば、iPadおよびおそらく他のAppleモバイルデバイスで3回の無効なログイン試行に対して5分のペナルティを取得し、次の試行ごとにそのペナルティを長く取得します。

また、入力したパスワードを使用せず、代わりにいくつかのタッチジェスチャーを使用するモバイルアプリも増えています。このソリューションは、残忍な力のハッキング方法を完全に排除します。

1
jazzgot

使いやすさの観点から?無限。ヘルプがユーザーに明確に強調されます。

セキュリティの観点から?これは、セキュリティスタックの交換のためのものです。アンドリューの答えは良いようですが。

1
the other one