S1.1-04 では、ネットワークを介したユーザ認証の仕組みが総当たり攻撃に対して耐性を持つことを要求しています。
6.1. ネットワークを介したユーザ認証機能をリストアップする
「ネットワークを介したユーザ認証をリストアップする」 と同様に、ネットワークを介したユーザ認証を必要とする機能をリストアップします。
さらに、開発者が開発するアプリケーションにおいて、守るべき情報資産に対してパスワードによるアクセス制御を施す場合は、総当たり攻撃に対して耐性を持たせる必要があります。
開発者が開発するアプリケーションにおいて、ネットワークを介したユーザ認証を行う仕組みを提供する場合、総当たり攻撃に対して耐性を持たせる必要があります。
アットマークテクノが提供するネットワークを介したユーザ認証の仕組みでは、以下の対策を行っています。
ABOS Web では、パスワードの認証処理において、認証が失敗した場合に 2 秒以上の待ち時間を設けることで、総当たり攻撃に対して耐性を持たせています。
Armadillo Twin では、ログイン画面でパスワード認証が5回失敗すると 1秒間ロックアウトします。
その後、失敗する度にロックアウト時間を延長することで、総当たり攻撃に対して耐性を持たせています。
S1.1-04 は実機テストによる評価です。
開発するアプリケーションにおいて、守るべき情報資産に対してパスワードによるアクセス制御を施す場合は、同様に総当たり攻撃に対して耐性を持たせる必要があります。
例えば、アットマークテクノ では hydra を使用して対象のユーザ認証に対して総当たり攻撃を実施し、 認証失敗時に再認証可能まで 2 秒以上時間がかかることを確認しています。
![[注記]](images/note.png)
