[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[upki-fed:00497] Shibboleth IdP Password Brute-force / Dictionary Attack
- Subject: [upki-fed:00497] Shibboleth IdP Password Brute-force / Dictionary Attack
- Date: Fri, 03 Aug 2012 12:40:02 +0900
- From: TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>
土屋です.
パスワードの総当たり攻撃または辞書攻撃を緩和するために,一定時間以内に一
定回数以上のログイン失敗(例えば,5回連続して失敗するなど)した場合は,
(a) アカウントを一定時間ロックする
(b) ログイン画面の表示を遅延する
などの対策を行うことは一般的(※)だと思います.Shibboleth IdP についても設
定しようと思って,
https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
http://docs.oracle.com/javase/1.5.0/docs/guide/security/jaas/JAASRefGuide.html
を調べたのですが,どうも該当する設定が見当たりませんでした.どうやって実
現したら良いでしょうか?
;; 最初,うっかりと SP 側の動作仕様で※を要求してしまっていたのですが,よ
;; く考えてみると,認証失敗の場合は SP に戻ってこないので,SP では実現で
;; きないのですね‥‥がっくり.
--
土屋 雅稔 ( TSUCHIYA Masatoshi )