ブログではなく単なる個人の日記なので、S/N比が非常に悪いのはあしからずー。
ToDo:
下手に適用すると、他人のアカウントをロックしたりできて、楽しいことになったりすると考えている。
ただ、周りとは意見が合わなかった。採用らしい。ある程度の苦情が来続けると思うんだけどなぁ。
また、間違えるとロックされてしまうようなシステムだと、自分が間違えると困るから、パスワードが簡単なものになってしまうんじゃないかなぁとも思う。
例えばGmailだとCAPTCHAで連続間違いを回避してるみたい。そっか、その場で解除できるならそれでいいのかな?ただ、CAPTCHAぐらいだと、画像解析するBotもいるみたいなんで、効果無しかもなー。
アカウントロックって本当に良い対策なのかなぁ。いかがなもんでしょ?
一般向けのサービスでは不要では?<br>運用コストが割にあわないと思うよ。<br>本当に大事なものが入っているシステムならば、必要かと思います。
大事なものではなかったとしても、なりすまされたら嫌だろうからねぇ。上には書かなかったけど、個人を特定したい、と、パスワードを簡単にしたい、というのが相反する要求なので、難しい課題ではあるんだけど。<br>アカウントロックを導入するぐらいだから、たぶん大事なものが入っている前提。まぁ、そこに簡単なパスワードを要求するのも常識外れなんだけど、要求としてはわからなくもない。<br>で、パスワードを簡単にする→アカウントロック必須、という理論になったと。<br>おいらが提案するなら、入力するパスワードは簡単でも認証に使用されるパスワードは長く複雑なもの、かな。ブルートフォースに対してPKIの取っている対策と同じだね。たぶん現状のベストプラクティスだよ。<br>具体的には、送信パスワードファイルのパスワードを入力するようにするとか、S/Keyみたいなワンタイムパスワード系を使うか、かな。もちろんPKIのクライアント認証でもいいけど、複雑にはなっちゃうよね。