アカウントがハッキングされた場合、電子メールサービスはどのような代替手段を提供しますか?
私は懸念Yahoo、Gmail、Hotmailetcなどのメールサービスがどのように顧客にセキュリティを提供し、彼らを防ぐのかについてアカウントが危険にさらされるのを防ぎます。たとえば、誰かがYahooでブルートフォース攻撃を試みた場合にそれを見てきました。何度か試行した後、アカウントはしばらくの間ブロックされます。これにより、2つの問題が発生します。
アカウントはとにかく電子メールサービスによってブロック解除されます。では、ブルートフォース攻撃を続けることはできませんか?ユーザーのセキュリティにとって危険ではありませんか?
ソフトウェア攻撃(ブルートフォース攻撃プログラムなど)が継続的に電子メールアドレスを攻撃している場合、アカウントはブロックされたままになり、ユーザーは待機する必要があります。このような問題が発生した場合、電子メールサービスは他のオプションを提供しますか?
Gmailは、認識されていないデバイスからログを記録するときに帯域外チャネルを提供します。この2要素認証機能を有効にすると、ログインしようとするたびに、電話またはテキストメッセージから取得する追加の確認コードを提供する必要があります。 Yahooもhotmailもまだこれを実装していません
「しばらくブロックする」ポリシーは、「許可されたシステム管理者からの手動アクションまでブロックする」という古いポリシーを緩和したものです。これは、スマートカードが間違ったコードを多く取得した場合に行うことですPINコード。ネットワークコンテキストでは、他の人のアカウントをブロックできるため、永続的なブロックは厳しすぎます。
「しばらくブロックする」と、ブルートフォース攻撃の割合が大幅に低下します。3つの間違ったパスワードの後でシステムが10分間ブロックした場合、攻撃者は1日あたり432の潜在的なパスワードしか試すことができません。したがって、エントロピーが比較的低いパスワードです。許容できます。
誰かがあなたに恨みを持っていて、あなたのアカウントを繰り返しブロックしている場合、敵のIPをブラックリストに載せるなど、他のいくつかの対策が可能です。悪者が 分散型サービス拒否攻撃 を使用し、百万のゾンビマシンがアカウントをブロックしている場合、あなたは馬鹿にされています。ごめんなさい。それに対する優れたコンピューターベースの防御はありません(ただし、古典的な警察の調査作業とSWATチームは効率的です)。
多くの場合、有効なログインのタイマーをログイン試行ごとに約3秒に設定するだけで、電子メールアカウントやその他のログインサービスをブルートフォース攻撃する可能性を減らすことができます。