HOME»応用情報技術者試験掲示板»平成31年春期午後問2(2)
投稿する
この手のはクライアント側では判断しないで、サーバ側で判断します。
DBのユーザのテーブルにログインの失敗回数を設けておいて、それが閾値を超えたらロックするというのがよくある話です。
「入力試行回数」とは「ログインの回数」と同義と言って差し支えないと思います。
まあ、違和感が模範解答よりあるかなくらいで、個人的にはあっているとは思います。
ログインにパスワードを用いると、設問の要求に無理やり答えたことで、ログインにパスワードを用いるのはそりゃそうだろ、という点が「パスワード入力試行回数の上限値設定」より頭をもたげる感じがするくらいで・・・。
ご回答頂きありがとうございます。
→やはり基本的にはサーバ側での判断ということですね。
(ご質問の意図を汲み取って頂きありがとうございます)
→同義なのですね。
→確かに「パスワード」を含めてという制約のもと、「パスワードログイン試行回数」とするのは違和感もあり、字数制限にかかってしまいますね。
ログイン=入力と語彙力で変換できないと厳しいことを改めて感じさせられました。
ご回答いただきありがとうございました。
ご回答頂きありがとうございます。
→「リバース」というものは「リバースブルートフォース攻撃」のことを指していますでしょうか。(逆ブルートフォース攻撃と同義の認識)
どのような攻撃に該当するものなのかお手数ですがご教示頂けますと幸いです。
これの事でした。省略失礼しました。
平成31年春期午後問2(2) [6006]
みおまるさん(No.1)
https://www.ap-siken.com/kakomon/31_haru/pm01.html
ブルートフォース攻撃には有効で逆ブルートフォース攻撃には期待できない対策として
模範解答にはパスワードを用いた「パスワード入力試行回数の上限値設定」となっています。
攻撃の説明では以下のとおりになっており、パスワードの入力試行回数はログインをしなければ検知されないと考えています。(JavaScriptなどスクリプト言語で入力回数を検知できることは技術的にできるのでしょうか?)
■ブルートフォース攻撃
IDを固定して、パスワードに可能性のあるすべての文字を組み合わせてログインを試行する攻撃
■逆ブルートフォース攻撃
パスワードを固定して、IDに可能性のある全ての文字を組み合わせてログインを試行する攻撃
実際に入力回数の検知はログインを実施しないとできないと考えているため、以下の回答が正しいと思うのですがいかがでしょうか。
・パスワードを用いたログイン試行回数の制限
ブルートフォース攻撃には有効で逆ブルートフォース攻撃には期待できない対策として
模範解答にはパスワードを用いた「パスワード入力試行回数の上限値設定」となっています。
攻撃の説明では以下のとおりになっており、パスワードの入力試行回数はログインをしなければ検知されないと考えています。(JavaScriptなどスクリプト言語で入力回数を検知できることは技術的にできるのでしょうか?)
■ブルートフォース攻撃
IDを固定して、パスワードに可能性のあるすべての文字を組み合わせてログインを試行する攻撃
■逆ブルートフォース攻撃
パスワードを固定して、IDに可能性のある全ての文字を組み合わせてログインを試行する攻撃
実際に入力回数の検知はログインを実施しないとできないと考えているため、以下の回答が正しいと思うのですがいかがでしょうか。
・パスワードを用いたログイン試行回数の制限
2025.09.22 10:46
GinSanaさん(No.2)
★AP プラチナマイスター
>JavaScriptなどスクリプト言語で入力回数を検知できることは技術的にできるのでしょうか?
この手のはクライアント側では判断しないで、サーバ側で判断します。
DBのユーザのテーブルにログインの失敗回数を設けておいて、それが閾値を超えたらロックするというのがよくある話です。
>パスワードの入力試行回数はログインをしなければ検知されないと考えています。
「入力試行回数」とは「ログインの回数」と同義と言って差し支えないと思います。
>実際に入力回数の検知はログインを実施しないとできないと考えているため、以下の回答が正しいと思うのですがいかがでしょうか。
>パスワードを用いたログイン試行回数の制限
まあ、違和感が模範解答よりあるかなくらいで、個人的にはあっているとは思います。
ログインにパスワードを用いると、設問の要求に無理やり答えたことで、ログインにパスワードを用いるのはそりゃそうだろ、という点が「パスワード入力試行回数の上限値設定」より頭をもたげる感じがするくらいで・・・。
2025.09.22 12:02
みおまるさん(No.3)
>GinSanaさん
ご回答頂きありがとうございます。
>この手のはクライアント側では判断しないで、サーバ側で判断します。
→やはり基本的にはサーバ側での判断ということですね。
(ご質問の意図を汲み取って頂きありがとうございます)
>「入力試行回数」とは「ログインの回数」と同義と言って差し支えないと思います。
→同義なのですね。
>ログインにパスワードを用いると、設問の要求に無理やり答えたことで、ログインにパスワードを用いるのはそりゃそうだろ、という点が「パスワード入力試行回数の上限値設定」より頭をもたげる感じがするくらいで・・・。
→確かに「パスワード」を含めてという制約のもと、「パスワードログイン試行回数」とするのは違和感もあり、字数制限にかかってしまいますね。
ログイン=入力と語彙力で変換できないと厳しいことを改めて感じさせられました。
ご回答いただきありがとうございました。
2025.09.22 13:55
電タックさん(No.4)
すごい個人的な感想になってしまいますが
こちらは、どちらかというとリバースに対して有効な方法を説明しているように受け取られかねない気がしました。
>・パスワードを用いたログイン試行回数の制限
こちらは、どちらかというとリバースに対して有効な方法を説明しているように受け取られかねない気がしました。
2025.09.22 14:05
みおまるさん(No.5)
>電タックさん
ご回答頂きありがとうございます。
>どちらかというとリバースに対して有効な方法を説明しているように受け取られかねない気がしました。
→「リバース」というものは「リバースブルートフォース攻撃」のことを指していますでしょうか。(逆ブルートフォース攻撃と同義の認識)
どのような攻撃に該当するものなのかお手数ですがご教示頂けますと幸いです。
2025.09.22 15:34
電タックさん(No.6)
>「リバースブルートフォース攻撃」
これの事でした。省略失礼しました。
2025.09.22 17:49