[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[upki-fed:00497] Shibboleth IdP Password Brute-force / Dictionary Attack



土屋です.

パスワードの総当たり攻撃または辞書攻撃を緩和するために,一定時間以内に一
定回数以上のログイン失敗(例えば,5回連続して失敗するなど)した場合は,

(a) アカウントを一定時間ロックする
(b) ログイン画面の表示を遅延する

などの対策を行うことは一般的(※)だと思います.Shibboleth IdP についても設
定しようと思って,

    https://wiki.shibboleth.net/confluence/display/SHIB2/IdPAuthUserPass
    http://docs.oracle.com/javase/1.5.0/docs/guide/security/jaas/JAASRefGuide.html

を調べたのですが,どうも該当する設定が見当たりませんでした.どうやって実
現したら良いでしょうか?

;; 最初,うっかりと SP 側の動作仕様で※を要求してしまっていたのですが,よ
;; く考えてみると,認証失敗の場合は SP に戻ってこないので,SP では実現で
;; きないのですね‥‥がっくり.

-- 
土屋 雅稔 ( TSUCHIYA Masatoshi )