応答時間の差について注意すること

2021.03.31

記事画像
フジボウルの寺山です。 先日GUNDAM FACTORY YOKOHAMAへ行き、動くガンダムを見てまいりました。 目の前で巨大ロボが動く日が見れた喜びもありますが、プロジェクト内での様々な苦悩を展示で知れたのもまた大きな収穫でした。 さて本日も、セキュリティ対策として私の反復覚えのためにも記載していければ思います。 今回は、前回記載した「ブルートフォースアタック」と似たパスワード絡みの問題についてです。 指摘された問題は、IDとパスワードの認証失敗時の処理と成功時の処理の時間です。この二つの処理で明確な処理時間に差がある場合、IDやパスワードが特定できてしまうのです。 例えば、IDが存在する場合の方が応答時間が長い場合、この時間を目安に有効なIDが調査できてしまいます。 対策方法は、登録済みの場合と未登録のユーザーの入力時間に差がないように実装を見直すことです。 例えば、ID認証成功時の処理で応答時間が長い場合、失敗時でもダミーを利用して似たような処理を行い、時間を稼ぐなどです。 ただIDとパスワードが一致するから通すだけでは見抜かれる、、、考えてみれば当たり前のことも意外にも気づかないものです。細かいところですが、こういった対策も必要ですね。

この記事を書いた人

寺山 拓未

2014年入社 現在セキュリティ関連の支援ツール開発業務に従事 ロボットアニメ全般が好き