一定数のログイン失敗の後、アカウントを無効にする。
現在の仕様では、ブルートフォースアタックによる権限奪取は、ひとつのIPアドレスあたり一日に16回のトライが限度である。
このブルートフォースアタックにはIP詐称は使えないため、現在のところかなり有効であると思われる。
ただ、IPv6に移行すれば話は別で、クラッカーが一万個以上のIPアドレスを準備できる可能性がある。そうなると、IPアドレスごとにブルートフォースを行えるようになってしまう。
これを回避するひとつの方法は、一定以上のログイン失敗の後にアカウントを無効にするというもの。e-mailでパスワード再発行のURLを送付し、パスワードの変更を促す。
現在の仕様では、ブルートフォースアタックによる権限奪取は、ひとつのIPアドレスあたり一日に16回のトライが限度である。
このブルートフォースアタックにはIP詐称は使えないため、現在のところかなり有効であると思われる。
ただ、IPv6に移行すれば話は別で、クラッカーが一万個以上のIPアドレスを準備できる可能性がある。そうなると、IPアドレスごとにブルートフォースを行えるようになってしまう。
これを回避するひとつの方法は、一定以上のログイン失敗の後にアカウントを無効にするというもの。e-mailでパスワード再発行のURLを送付し、パスワードの変更を促す。