¿Qué alternativas ofrecen los servicios de correo electrónico cuando se hackea una cuenta?

4

Estoy preocupado acerca de cómo los servicios de correo electrónico como Yahoo , Gmail , Hotmail etc brindan seguridad a sus clientes y evitan que su cuenta se vea comprometida. Por ejemplo, He visto que si alguien intenta un ataque de fuerza bruta en Yahoo. Después de algunos intentos, la cuenta está bloqueada por algún tiempo. Esto da lugar a dos problemas,

  
  1. De todos modos, la cuenta será desbloqueada por el servicio de correo electrónico.   Entonces, ¿no puede continuar el ataque de fuerza bruta? No es peligroso   ¿Por la seguridad del usuario?

  2.   
  3. Si el software está atacando (por ejemplo, algunos ataques de fuerza bruta   Programa) está atacando continuamente la dirección de correo electrónico, entonces el   La cuenta se mantiene bloqueada y el usuario tiene que esperar. Hace el correo   ¿El servicio proporciona alguna otra opción si ocurre un problema de este tipo?

  4.   
    
pregunta Fahad Uddin 27.08.2011 - 15:13
fuente

3 respuestas

10

¡Gmail le proporciona un canal fuera de banda cuando se registra desde un dispositivo no reconocido! puede habilitar esta función de autenticación de dos factores para que cada vez que intente iniciar sesión tenga que proporcionar un código de confirmación adicional que reciba de una llamada telefónica o de un mensaje de texto. Ni Yahoo ni Hotmail ya lo han implementado.

    
respondido por el Serge Innocent 27.08.2011 - 17:33
fuente
6

La política de "bloqueo por algún tiempo" es una relajación de una política anterior que es "bloquear hasta la acción manual de un administrador del sistema autorizado". Eso es lo que hacen las tarjetas inteligentes, cuando obtienen demasiados códigos PIN incorrectos. El bloqueo permanente es demasiado severo en un contexto de red, ya que permitiría a cualquiera bloquear las cuentas de otras personas.

"Bloquear por algún tiempo" aún reduce drásticamente la tasa de ataques de fuerza bruta: si el sistema se bloquea durante 10 minutos después de 3 contraseñas incorrectas, el atacante podrá probar solo 432 contraseñas potenciales por día, por lo tanto, contraseñas de Se puede tolerar una entropía relativamente baja.

Si alguien tiene un resentimiento contra ti y bloquea repetidamente tu cuenta, entonces es posible que existan otras contramedidas, como poner en la lista negra la IP de tu enemigo. Si el malo usa un ataque distribuido de denegación de servicio , con millones de máquinas zombie trabajando duro bloqueando tu cuenta, entonces estás perdido. Lo siento. No hay una buena defensa basada en computadora contra eso (el trabajo de investigación policial clásica y los equipos SWAT pueden ser eficientes, sin embargo).

    
respondido por el Thomas Pornin 27.08.2011 - 15:49
fuente
0

A menudo, simplemente establezca el temporizador de inicio de sesión válido en aproximadamente 3 segundos por intento de inicio de sesión para reducir cualquier posibilidad exitosa de forzar una cuenta de correo electrónico o cualquier otro servicio de inicio de sesión.

    
respondido por el psalomonsen 05.09.2011 - 15:07
fuente

Lea otras preguntas en las etiquetas