[upki-fed:00498] Re: Shibboleth IdP Password Brute-force / Dictionary Attack

[赤木邦雄 <xxxxx@xxxxxxxxxxxx>]

土屋様

アットウェアの赤木です。

IdPを使って認証するシステムと、
直接、LDAPで認証するシステムがありましたので、
LDAPのパスワードポリシーを使っています。


宜しくお願い致します。


2012/8/3 TSUCHIYA Masatoshi <xxxxxxxx@xxxxxx>

> 土屋です．
>
> パスワードの総当たり攻撃または辞書攻撃を緩和するために，一定時間以内に一
> 定回数以上のログイン失敗(例えば，5回連続して失敗するなど)した場合は，
>
> (a) アカウントを一定時間ロックする
> (b) ログイン画面の表示を遅延する
>
> などの対策を行うことは一般的(※)だと思います．Shibboleth IdP についても設
> 定しようと思って，
>
>     https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
>
> http://docs.oracle.com/javase/1.5.0/docs/guide/security/jaas/JAASRefGuide.html
>
> を調べたのですが，どうも該当する設定が見当たりませんでした．どうやって実
> 現したら良いでしょうか?
>
> ;; 最初，うっかりと SP 側の動作仕様で※を要求してしまっていたのですが，よ
> ;; く考えてみると，認証失敗の場合は SP に戻ってこないので，SP では実現で
> ;; きないのですね‥‥がっくり．
>
> --
> 土屋 雅稔 ( TSUCHIYA Masatoshi )
>