【Google Cloud Day'21】「패스워드 리스트형 공격으로부터의 지키는 방법」을 시청해

많은 웹 서비스가 인증 기능을 제공하지만, 대부분은 자동화된 로그인 시도 공격에 대한 충분한 조치를 취하지 않습니다. 오늘날에는 봇넷을 활용한 대규모 공격도 드물지 않고, 공격의 모순이 향하면 단순한 대책은 깨질 수 있는 상황에 있습니다. 본 강연에서는 pixiv의 인증 기반의 운용으로 실시하고 있는 reCAPTCHA, BigQuery, Looker를 활용한 대책·감시 방법을 소개합니다.
htps : // c ぉ 우도없는 r.ぃth おお gぇ. 이 m / 에ょ ぇ ts / 굉장히 ぇ-c ぉ d-d y- ぢ 기 l-21 / 와 tch? lk = d3-se c-04


질문
답변


reCAPTCHA Enterprise에서 얻은 점수를 기반으로 한 조치 (예 : 차단)는 어떻게 결정되고 운영됩니까?
블로킹의 임계치로서는, Google이 0.5를 임계치로서 그 이하를 블록,이라고 하도록(듯이) 추천하고 있어, 픽시브에서도 그렇게 되어 있습니다. 0.5 이하였을 경우, 현재는 폴백으로서 reCAPTCHA v2를 표시해, 챌린지를 풀면 이용할 수 있도록(듯이) 하고 있습니다



커팅
내용


패스워드 리스트형 공격과 사례



대책



인증 로그 처리 정보
일반적으로는 SIEMw 사용하지만, Looker에서도 충분히 정보는 수집할 수 있다


공격 차단 방법과 과제



공격을 차단하는 방법과 과제에 대한 해결책
얼마나 bot 같은지를 계산할 수 있는 기능도 있다. PIXIV는 이쪽을 사용했다. 유저가 체크하게 하는 거동은 싫었기 때문.


공격 차단 방법과 과제에 대한 해결책 과제



공격 차단 방법과 과제에 대한 해결책 과제 해결책
oauth를 사용합니다.


위를 구현하는 것이 좋았습니다.



유출 비밀번호 DB 활용