たまに、SMSやメール認証で4桁の数字を入れてログインするシステムあるけどすげーガバガバなセキュリティだよなって話。
4桁の数字ってことは、完全にランダムな数字を入力したとしてもたったの1万分の1で当たってしまう。電話番号って結構予測可能だしメールアドレスも頻繁に流出してたりするので、1万個の電話番号やメールアドレスに対して1回ずつログイン試行してランダムな数字入れれば1回ぐらい当たる計算になる。
6桁の数字でログインするシステムもあるが、1万回が100万回になっただけで4桁よりはかなり良いけど少し弱いような気がしないでもない。
要はリバースブルートフォースアタックのようなもので、不正アクセス検出がかなり困難。
対策としては、それなりに強固なワンタイムトークンを含んだURLが来るとか、そもそも一段目でパスワード認証した後に二段階認証で利用するって感じだろうか。
特にSMS認証はSIMスワップとかあるのに過信し過ぎてるシステム多い気がする。
最近も楽天のeSIM乗っ取りとか話題になってたし警戒感薄いよなと思う。
0 件のコメント:
コメントを投稿