¿Qué tan susceptible es Gmail a los ataques de fuerza bruta?

Navega tus respuestas
21

En el artículo Atlantic " Hacked! "dice:

  

La contraseña de mi esposa se consideró "fuerte" cuando la eligió por primera vez para usarla con Gmail. Pero fue una combinación de dos palabras cortas en inglés seguidas de números, por lo que si no se filtró de algún otro sitio, podría haberse adivinado en un ataque de fuerza bruta. Por razones demasiado complejas de explicar aquí, incluso algunos sistemas, como el de Gmail, que no permiten que los intrusos hagan millones de intentos aleatorios de una contraseña pueden ser vulnerables a los ataques de fuerza bruta.

¿A qué vulnerabilidad se refiere el autor?

    
pregunta Mr. Bultitude 12.06.2015 - 06:02
fuente

4 respuestas

32

Para empezar, ese artículo hace un uso incorrecto de la terminología.

Cualquiera sea la vulnerabilidad a la que puedan estar refiriéndose, parece bastante evidente que no es una "fuerza bruta" ya que eso contradeciría la premisa de esa misma frase. Como otra respuesta sugerida es posible que se emplee algún tipo de ingeniería social, pero en este caso cualquier serie de "adivinanzas "la izquierda no sería una fuerza bruta en absoluto, sino un aprovechamiento inteligente de los puntos de datos conocidos.

Además, identifica erróneamente la falla de seguridad más probable.

En general, lo más probable en el caso descrito en el artículo es una base de datos comprometida en otro sitio . El artículo permite esto específicamente cuando dice "si no se filtró de algún otro sitio", lo que implica que su esposa no usa contraseñas únicas por sitio. Si no usa contraseñas únicas 1 , todas las apuestas están desactivadas y no puede culpar a Google si su cuenta de Gmail está comprometida 2 que todas sus cosas son tan seguras como las el sitio más débil que utiliza, un enfoque de mínimo común denominador que está destinado a generar problemas en su conjunto, ya que para cualquier conjunto de sitios dado, casi se garantiza que uno de ellos tiene datos de usuario mal manejados.

1. Además de usar contraseñas únicas, habilitar la autenticación de dos factores también mitigaría contra este vector de ataque.

2. Note nuevamente el tema de terminología aquí. Una cuenta comprometida (como en mi uso) es diferente a una cuenta pirateada (como en el uso del artículo). En el escenario más probable, la cuenta de Gmail no fue pirateada (ninguna medida de seguridad falló en Google) el atacante simplemente pudo iniciar sesión con la contraseña que piratearon en otro lugar.

    
respondido por el Caleb 12.06.2015 - 11:16
fuente
4

Sobre ese párrafo dice:

  

También es posible que la contraseña de mi esposa sea simplemente "adivinada"   aunque de una manera diferente a lo que los laicos podrían asumir. Adivinando menos   a menudo involucra ingeniería social: probar tu cumpleaños o tu   los nombres de su ciudad natal o de sus parientes, que "ataques de fuerza bruta"

Lo que es más probable a lo que se refería.

En otras palabras, aunque para la mayoría de los estándares cuantitativos es una contraseña segura, en realidad está formada por dos palabras fáciles de adivinar y un número. Es posible que un atacante solo necesite probar algunas docenas de combinaciones de ciudad natal, fecha de nacimiento, nombres de mascotas, etc. para adivinar la contraseña.

    
respondido por el thexacre 12.06.2015 - 06:41
fuente
2

Es cierto que los ataques distintos de la fuerza bruta pueden estar mal etiquetados, o que el autor está hablando de fuerza bruta contra una contraseña pirateada hipotéticamente robada de Google ( muy espero que 'revelaría si eso sucedió y forzar cambios de contraseña).

Sin embargo, tomando el reclamo a su valor nominal, ¿es cierto que:

  

Por razones demasiado complejas de explicar aquí, incluso algunos sistemas, como   Gmail, que no permite a los intrusos hacer millones de adivinanzas al azar   con una contraseña todavía puede ser vulnerable a ataques de fuerza bruta.

La respuesta es un débil sí, pueden serlo, pero no es una línea de ataque especialmente fructífera. Tiene que ver con cómo se implementa realmente "no permitir que los intrusos hagan millones de suposiciones aleatorias".

Google (supongo) lo bloqueará si realiza demasiados intentos fallidos de inicio de sesión desde una única dirección IP. Pero, ¿bloqueará una cuenta si se realizan demasiados intentos de inicio de sesión fallidos? Los cajeros automáticos hacen eso, se comen su tarjeta si el PIN se equivoca tres veces. Pero para hacer el intento, debes tener la tarjeta en sí, por lo que las únicas personas que pueden hacer esto son tú o alguien que tomó tu tarjeta [*].

Si Google bloqueara su cuenta después de tres intentos fallidos de inicio de sesión desde cualquier parte del mundo , entonces habría un ataque de DoS trivial (aunque no típicamente devastador) que alguien podría hacer contra las cuentas de Google: solo hacer deliberadamente muchos intentos fallidos de inicio de sesión. Cualquiera que sepa su nombre de cuenta puede hacer esto, no hay ninguna ficha física como segundo factor. Miles o millones de personas deben pasar por el rigamarol y el inconveniente de desbloquear su cuenta utilizando un número de teléfono o una dirección de correo electrónico de respaldo, o tal vez pierden sus cuentas por completo debido a que no tienen un segundo factor actualizado. Esto no ha sucedido, por lo que no puede ser tan fácil hacer que Google bloquee la cuenta de alguien.

No sé qué hace Google en realidad acerca del bloqueo de cuentas que parecen estar bajo ataque, pero es ciertamente plausible que un sistema como GMail pueda tolerar bastante de tonterías antes de bloquear la cuenta.

Entonces, consígase una red de bots de unos pocos millones de direcciones IP, y puede realizar un ataque de fuerza bruta relativamente lento si realmente lo desea. Cuantas más cuentas tenga para trabajar simultáneamente, menos intentos realizará en cada cuenta y menor será la probabilidad de que cada cuenta se bloquee. Simplemente no hagas demasiados intentos por día desde cada dirección IP.

En cuanto a si es plausible lo que realmente le sucedió a la esposa del autor, lo dudo. No es un gran uso de una botnet de clase mundial. Pero para una contraseña bastante débil, dos palabras comunes en inglés seguidas por (digamos) un número de tres dígitos, es ciertamente posible que un ataque de fuerza bruta distribuido de forma masiva pueda encontrarlo, si alguien decide aplicar uno. Pero esta contraseña no está en el "top mil más común" que un atacante ejecutaría primero contra cada cuenta, incluso antes de comenzar con "dos palabras en inglés y tres dígitos". Está lejos de la fruta más baja. Entonces, en ese sentido, los sistemas como este todavía pueden ser vulnerables a una fuerza bruta viva, pero no es una cosa que realmente pase AFAIK. En cualquier caso, creo que vale la pena que el autor haga una nota de precaución, ya que confiar en una contraseña de este formulario no para que sea forzado a ser brutal sería complaciente, pero FUD junto con "este margen es demasiado pequeño para contener la prueba "no es ideal ;-)

Además, Google ya no le permite iniciar sesión desde una dirección IP arbitraria: ni mi botnet hipotética ni los muchachos de Lagos descritos en el artículo, deberían poder iniciar sesión incluso si tienen la contraseña. Créame, esto me ha mordido en el pasado al tratar de acceder legítimamente a las distintas API de Google utilizando mi propia cuenta desde servidores virtuales diseminados por el lugar, sin importar qué pasaría si intentara usar las cuentas de otras personas. Así que incluso teniendo en cuenta el riesgo de adivinar la contraseña, Google hace todo lo posible para tener un mayor nivel de seguridad.

[*] O alguien que clonó tu tarjeta, si vives en uno de esos lugares tipo del tercer mundo que aún no tienen Chip y Pin. Pero si has clonado la tarjeta de crédito de alguien en esos lugares, hay muchas más cosas entretenidas que puedes hacer con ellas que bloquearlas de manera maliciosa.

    
respondido por el Steve Jessop 12.06.2015 - 21:58
fuente
-1

Con o sin fuerza bruta, cuando inicie sesión en la cuenta en 5x tentativos con una contraseña falsa, la cuenta se bloqueará por la seguridad de Google de WAF (Web Application Firewall).

Entonces, si cambias tu IP o no, la cuenta del propietario solo puede reactivarla.

    
respondido por el user3430800 25.06.2015 - 08:45
fuente

Lea otras preguntas en las etiquetas

¿Cómo se detectan los paquetes falsificados? MySQL OLD_PASSWORD cryptanalysis?