+++

  • to Amazon

カテゴリー

藻緯羅の庵(過去分)

旧[藻緯羅の庵]より

« 10万円で孤独死発見はゼロ? | トップページ | 任天堂、33年前の時価総額は? »

2020-09-19

[不正アクセス]を誘導する人々

「不正アクセス」のニュースが引きもきらないが、
「デジタル庁」新設と無縁ではないだろう。
国民の反対を抑制できるであろうから...

「不正アクセス」と、それによる被害は、
今や、日常的に存在しているだろう。
なぜなら、
「不正アクセス」を誘導する人々がいるからである。
それは、ログイン仕様の決定権を持つ人たちである。
というのも、
「ログイン仕様」が本人には使い難く、
不正アクセス者には「便利」だからである。

1)ログイン名が問題である。
 ネット黎明期には、ログイン名は自由に決めることができたが、
 最近は,ほぼ全てのサイトが、メールアドレスを使用している。
 メールアドレスは、元来、公開されるモノであるし、
 入手すれば、多数のサイトに使えるので、
 不正アクセス者には、実に、この上なく好都合である。
 金融機関などには、口座番号や顧客番号を使うところもある。
 これも、その情報を入手すれば、ログインにも使えて好都合。
 黎明期には、ログインに別のものが使われることが多かった。
 メールアドレスを使わないサイトでも、桁数が短すぎる。
 中には、4桁という、恐るべきサイトも存在する。
 しかも、"kawa"などの具体列を排除していない。
 どうぞ、攻撃してくださいと言っているようなもの。
では、どうであれば良いのか?
 英子音字と数字と特殊文字を組み合わせて6桁以上を、
 ユーザーが指定する(手順は面倒でも変更も可)。
 母音がないので具体名を含み難い。
 数字は何個でも使えるが連続しては使えない。
 例えば、"lj22jj"のような使い方は不可で、"lj2j2j"なら可。
 これにより直接的な誕生日などの存在を抑制する。

2)パスワードの誤入力によるロック仕様も問題
 間違いの上限が数回では少なすぎる。
 伏せ字にされるので誤り文字が判らず、
 誤入力を続けやすいので、自分でロックをかけたり、
 メールアドレスで攻撃されて不正者にロックされる。
では、どうすればいいのか?
 ロックまでの回数を約100回程度とし、
 数回間違えたら、伏せ字表示を1秒間ほど表示する。
 パスワードの入力を、当初の3回は三秒間隔で、
 その後は、30秒間隔とする。
 もちろん、3回間違えたらシステムは監視体制に入る。
 これにより、不正アクセス者は、時間を使わされる。
 パスワードが漏れたら意味がない!
 それはユーザーの管理責任である。
 スマホを使った認証にしたとしても完璧ではない。
 いわゆる2段階認証方式は、
 正当なユーザーが不便になるだけである。
 スマホの普及を促進することにはなるが。

3)第2パスワード設定サイトが少なすぎる。
 第2パスワードは、特定領域アクセスや特定操作に要求するが、
 4桁の数字だったりする、数字でもいいが6桁以上にすべき。
 第2パスワードのロックについても前述の考え方が望ましい。
被害の甚大さと利用頻度に鑑みれば、
この第2のパスワードには2段階認証や、
ワンタイムパスワードを使ってもいいだろう。


警察は本当に「動いてくれない」のか(Amazon)

« 10万円で孤独死発見はゼロ? | トップページ | 任天堂、33年前の時価総額は? »

井中の蛙」カテゴリの記事

コメント

コメントを書く

コメントは記事投稿者が公開するまで表示されません。

(ウェブ上には掲載しません)

« 10万円で孤独死発見はゼロ? | トップページ | 任天堂、33年前の時価総額は? »