通常のログインシステムでは、ハッカーがパスワードをテストすることができるアカウントが何回あるのか聞かせてください。答えは最大10000回でしょうか?通常のログインシステムでは、ハッカーがアカウントのパスワードを何回テストすることができるのですか?
ありがとうございます。
通常のログインシステムでは、ハッカーがパスワードをテストすることができるアカウントが何回あるのか聞かせてください。答えは最大10000回でしょうか?通常のログインシステムでは、ハッカーがアカウントのパスワードを何回テストすることができるのですか?
ありがとうございます。
通常、答えは小さいか無限大です。たとえば、ほとんどのWindowsドメインコントローラでは、ログイン試行の最大回数は10回未満ですが、ドメイン制御されていないWindowsマシンでは最大値はありません。
また、ほとんどのウェブサイトでは、答えが小さいか無限である - 間違った推測があまりにも多く発生すると、ユーザーが短時間のうちにアカウントを「ロックアウト」することがあるという警告があります。
新しいシステムを構築している場合は、リスクがお客様のものであると考えることが重要です。一般に、アカウントをロックするのではなく、しばらく(スロットル)の間ユーザーをロックアウトすることをお勧めしますが、頻繁にアクセスされることのない高価値システム(オンラインバンキングや会社のドキュメントストアへのアクセスなど)パスワードの複雑さを最小限に抑えることはおそらくより良い選択です。
Xの試行後にブロックしないでください。サービス拒否の脆弱性が存在します。スロットリングはより良いアプローチです。答えを提示するだけで待ち時間が長くなり、リクエストごとに待機する時間が長くなります。