• charinchi

    (@charinchi)


    Limit Login Attempts Reloadedというプラグインの機能に、ダッシュボードのログインロック機能がありますが、それが、どうやら同じインターネット回線を使用している場合、ロックされたPC01とは別のPC02でログインしようとしても、PC01のロック判定が引き継がれてしまって困っております。

    なぜ困るかというと、当該WordPressサイトはログインしないと閲覧できない会員サイトにしているのですが、同じ会社で同じネット回線を使っている環境に二人以上の会員がいる場合、
    そして、例えばログイン情報を間違ってログインしようとボタンを押されたときに10回間違ったらログインロックが24時間かかる、という設定にしていた場合、
    会員Aさんがログインを10回間違ってロックがかかると、同じ会社の会員Bさんがログインしようとしても、一発目からロックがかかってしまってログインできない状態が起こります。
    これを知ったとき、このままでは使えないプラグインだと知りました。

    このプラグインのログインロック機能を、デバイスごとにする方法はあるでしょうか。
    お忙しいところ恐れ入りますが宜しくお願い致します。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • naohanpen

    (@naohanpen)

    はじめまして。
    ブラックリスト方式のようですが、ころころと変えられるものではセキュリティ上意味が薄くなってしまいます。次のことをご検討ください。
    ・ホワイトリストも組み合わせる
     例えば、一度正しくログインしたときに予測不能なトークンを生成し、データベースとブラウザに保存します。そのトークンの有無によってブラウザが信用できるブラウザかを判断します。簡単に説明していますが、もう少し工夫してお使いください。
    ・別の安全な認証方法を用意する
     パスワードによる認証ではなく、ワンタイムパスワードをメールに記載するなどして認証する方法を提供することもできます。
    ・復旧する方法を用意する
     メールに復旧 URL を記載するなどしてブラックリストから削除する方法を提供することもできます。

    ご不明な点などがありましたら、返信してお知らせください。

    トピック投稿者 charinchi

    (@charinchi)

    他の仕事にかかりきりになりご返答が遅くなりました。済みません。
    書かれていることは高度過ぎて理解できません。済みません。

    X社のAさんがログイン時のIDかパスワードを10回も間違えたら、その人はさすがにロックされてもしかたないのでOKなのですが、同じX社のBさんがはじめてログインする際に、Bさんの正しいID・パスワードでログインしても、「ロックかかってるからあと何時間後にしかログインできない」と動作されてはたまったものではないので、ロックまでの回数がカウントされるのはあくまでも同一デバイスにしたいです。
    そのやり方があると嬉しいです。

    たとえ、悪意ある第三者のZさんがパソコンAを使ってログインしようと試みて10回ログインを失敗して、同じZさんが今度はパソコンBを使ってログインしようと試みて10回ログインを失敗して、という具合になれば、数十台くらいデバイスを変えたくらいではログインを突破することはできるはずがないので。

    ブルートフォースアタックはものすごい文字列パターンの数を自動的に繰り返してログインを突破するものですので、デバイスを何十台変えた程度では突破できないですから、ひとつのデバイスで10回ログインをミスったらロックがかかる方式にしたいです。
    もしご存知でしたら宜しくお願い致します。

    • この返信は2年、 9ヶ月前にcharinchiが編集しました。

    charinchiさん、こんにちは。

    そもそも該当のプラグインはブルートフォースアタックを防ぐための物で、ユーザーを個別に認証する物ではないと考えられます。
    最近は常時接続が当たり前になり、IPアドレスが頻繁に変わることはなくなりましたが、それでも携帯回線からのアクセス等頻繁にIPアドレスが変更される物もあり、IPアドレスでの個人の認証は難しいと考えた方がよろしいかと思われます。

    ブルートフォースアタックを防ぐ目的であれば、該当のIPアドレスから10回の試行があれば該当IPアドレスを一時的にブラックリストに指定するのは理にかなっていますし、固定IPアドレスを利用している特定の企業から10回も試行するようなユーザーがいるとは考えにくいので、もし本当にそんな人がいる企業からのアタックだとすれば、該当の企業のIPアドレスを制限するのも理にかなっているように思えるのですが、いかがでしょうか。

    charinchiさんの考えるような制限を実行しようと思えば、該当のプラグインで実装するよりも、naohanpenさんのおっしゃっているようにIPアドレス以外で個人を特定する方法を取った方が有効です。
    目的がブルートフォースアタックを防ぐことなのか、問題のない個人を認証して他の悪意のあるユーザーをはじくことにあるのか、それぞれに適したプラグイン等を実装されることをお勧めいたします。
    少なくとも該当のプラグインに個人を特定し安全だと判断する機能はないと思われます。

    ご参考になれば。

    トピック投稿者 charinchi

    (@charinchi)

    色々と教えてくださり感謝です。
    おこないたいのは偏重するのではなくバランスを取りたいです。
    不正な第三者からの突破を防ぎつつ、ログイン権利のあるX社のユーザAさんが10回ログインをミスしても、同じ会社のユーザーBさんはその影響を受けずに10回まではログインミスしても大丈夫な状態を作りたいです。
    ユーザーにITにうとい方も少なくないのでID・パスワードを忘れてしまい、ちょくちょくログインロックがかかります。
    一人がログインロックされたからといって、同じ企業の別人まで正常なID・パスワードでログインしたのにそれでもロックがかかる、という仕様にはしたくないです。
    人が少ないため、復旧連絡を受けて人が手動で復旧作業をする、ということも取りたくない状況です。

    プログラミング初心者のため、このプラグインでも、違うプラグインでも良いので、簡単にデバイスごとでログインロックがかけられる方法があればと思っておりました。
    お手数お掛けして申し訳有りません。

4件の返信を表示中 - 1 - 4件目 (全4件中)
  • トピック「Limit Login Attempts Reloadedでログインロックが維持される」には新たに返信することはできません。