¿Cómo puedo determinar si un sitio web protege de alguna manera contra ataques de fuerza bruta en mi contraseña? (Supongamos que no puedo crear una cuenta anónima)

Navega tus respuestas
5

Después de el hack de Mat Honan Estudié mi propia lista de cuentas que tengo en los numerosos sitios web que uso. Hay un hecho que destaca:

Muchos de los sitios web restringen severamente las opciones de tamaño y carácter de las contraseñas.

Irónicamente, los sitios web gubernamentales y financieros fueron los peores delincuentes. Un sitio de gobierno restringió las contraseñas a 6-8 caracteres alfanuméricos. Algunos sitios financieros limitan el tamaño a 8 caracteres.

Parece que un ataque de intentar cada posibilidad podría ser factible a menos que el sitio web implementara algún tipo de contramedida. Las contramedidas contra este tipo de ataque se discuten aquí y aquí .

Me quedo con la siguiente pregunta:

¿Cómo puedo determinar si un sitio web protege de alguna manera contra un ataque de fuerza bruta en mi contraseña? (suponga que no puedo crear una cuenta anónima)

Google revela alguna indicación de que existen aplicaciones y bibliotecas para realizar un ataque probatorio por mi cuenta, prefiero no arriesgarme a llamar la atención o provocar una denegación de servicio. Parece que debería haber una forma menos disruptiva de determinar si se implementa una contramedida.

Sigue para abordar las respuestas tempranas:

  1. No estoy preguntando sobre la protección de un sitio web que controlo. Soy simplemente un usuario de los sitios web en cuestión.
  2. Las cuentas financieras y gubernamentales que tengo no se crean fácilmente. Y definitivamente no se puede crear de forma anónima. El intento de forzar una cuenta bruta que uso (ya sea anónima o no) pone en peligro su disponibilidad para mi uso.
pregunta alx9r 09.08.2012 - 19:20
fuente

3 respuestas

3

En realidad, solo hay dos formas de mitigar los forzados brutos en línea. Puedes buscarlos a ambos.

  1. Acelerador. ¿El sitio web te agota después de algunos intentos? ¿Le lleva mucho tiempo responder a sus solicitudes (deliberadamente? Piense una contraseña incorrecta en SSH).

    Me sorprendería si un sitio web utilizara el acelerador de bloquearte después de algunos intentos. Suponiendo que un ataque tuviera la lista completa de nombres de usuario ... potencialmente podrían bloquear a todos los usuarios.

  2. CAPTCHAs. ¿Están usando un reCAPTCHA o algo que es bastante molesto si tiene demasiados intentos? Si el atacante realmente quiere ... puede externalizar la resolución de captcha a África o en algún lugar ... pero eso requiere una gran sobrecarga.

respondido por el Rell3oT 09.08.2012 - 20:36
fuente
4

THC-Hydra es una de las herramientas en línea más maduras para forzar a los animales. Sin embargo, si está probando la susceptibilidad de fuerza bruta de una aplicación específica, simplemente intente iniciar sesión varias veces, si no le piden un capthca, entonces es vulnerable. Si borra sus cookies y el captcha desaparece, entonces es vulnerable .

    
respondido por el rook 09.08.2012 - 19:26
fuente
-1

Obtenga Tor y configúrelo, cree una nueva cuenta en el servicio que desea probar (Google, Facebook, lo que sea, ...), luego intente con fuerza bruta. Asegúrate de que la fuerza bruta se realice a través del proxy Tor (al igual que el registro), pero asegúrate de tener una nueva identidad Tor (identidad diferente a la que creaste la cuenta) Para el correo electrónico desechable, puede utilizar enlace .

    
respondido por el Matrix 09.08.2012 - 19:28
fuente

Lea otras preguntas en las etiquetas

Firefox enumera '(desconocido)' como propietario de google.com. ¿Mi conexión es insegura? ¿Se puede usar un HSM para hacer que el hashing de contraseñas sea más fuerte?