Se requiere bloqueo de cuenta con interacción humana para desbloquear

Navega tus respuestas
2

Acabo de ser bloqueado una vez más en el sistema de mi universidad por escribir la contraseña incorrecta dos veces y luego escribir mal la correcta por accidente. Ahora tengo que llamar al servicio de asistencia o ir allí yo mismo para restablecerlo.

Ahora mi pregunta, ¿hay realmente algún valor en hacer esto? Podía entender un bloqueo de 5 a 15 minutos, pero simplemente no veo ningún valor en el bloqueo de una cuenta desde un punto de vista de seguridad. Desde mi punto de vista como usuario de este sistema, ha sido nada , pero problemas, frustración y muchísimo tiempo perdido.

En todo caso, parece un cartel enorme que dice "¡Bloquea la cuenta de este usuario GRATIS!" simplemente conociendo su nombre de usuario, lo que permite la denegación masiva del servicio con poco esfuerzo. Pero podría estar perdiendo algo.

Por supuesto, obviamente estoy sesgado, entonces, ¿alguien ve una ventaja al hacer esto? A mí me parece que es demasiado exagerado, y sus otras políticas de contraseñas (te ahorraré el horror) realmente no hacen un buen trabajo para hacerme sentir bien al darles las contraseñas, pero desafortunadamente no tengo autoridad sobre esto. >     

pregunta Thomas 04.03.2013 - 08:54
fuente

3 respuestas

4

Estoy de acuerdo: los usuarios malintencionados pueden usar el bloqueo de la cuenta física para las cuentas de usuario legítimas DoS (Denegación de servicio). Dependiendo de la sensibilidad de las cuentas de usuario, un bloqueo basado en el tiempo puede ser más apropiado. Para aplicaciones similares, nuestra empresa utiliza un enfoque de incremento basado en el tiempo.

Por ejemplo, la primera vez que se bloquea después de 3 contraseñas incorrectas se bloquea durante 10 minutos. Si se vuelve a bloquear, se bloquea durante 20 minutos. El tercer tiempo 40 minutos. Y así sucesivamente, este tiempo incrementado hace que los intentos de fuerza bruta automatizados consuman mucho tiempo y le dará al equipo de administración / seguridad del sistema un tiempo significativo para identificar un ataque. Sin el bloqueo basado en el tiempo, sería posible un ataque de fuerza bruta en unos minutos, y con el bloqueo de la cuenta física causaría un dolor de cabeza para el equipo de soporte.

Una pregunta sería si puede enumerar fácilmente los nombres de usuario de la aplicación. Si luego puede señalarlo al equipo de soporte / desarrollo, un atacante malintencionado podría hacer lo mismo fácilmente y bloquear todas las cuentas del sistema.

    
respondido por el fixulate 04.03.2013 - 10:52
fuente
2

El problema

Determinar el umbral de su política de contraseñas es bastante objetivo. Dependiendo de cómo esté configurada su autenticación, puede tener un número bajo de intentos incorrectos de inicio de sesión (1-3) dentro de un cierto período de tiempo y una mayor sobrecarga administrativa o un mayor número de intentos incorrectos de inicio de sesión con menos gastos administrativos.

Intentos de inicio de sesión incorrectos bajos

Considere el ejemplo donde un usuario solo tiene 1-3 intentos de inicio de sesión incorrectos y están bloqueados fuera del sistema. Esto minimiza la posibilidad de un ataque de contraseña exitoso y previene casi cualquier intento de fuerza bruta. Este umbral proporciona la mayor seguridad que puede lograr a través de malos intentos de inicio de sesión.

Solo unos pocos intentos de inicio de sesión incorrectos bloquearán al usuario y la cuenta deberá desbloquearse antes de otro intento de inicio de sesión. Esto facilita la realización de un DoS sobre usted mismo, su maestro, su jefe o su amigo.

Intentos de inicio de sesión incorrectos

Un número razonable de intentos incorrectos de inicio de sesión de más de 5 a 10 se considera alto. Si un usuario necesita 10 intentos antes de obtener la contraseña correcta, probablemente se deba a inicios de sesión poco frecuentes o simplemente no recuerdan su contraseña.

Con los intentos de inicio de sesión incorrectos más altos, hay una mayor probabilidad de éxito durante un ataque de contraseña. Si los usuarios escriben su contraseña correcta antes del umbral, entonces no hay gastos administrativos.

Sin intentos de inicio de sesión incorrectos

Esto generalmente se encuentra al iniciar sesión en un sistema local sin autenticación de red, como una PC doméstica. En la autenticación de red, este método requiere ser sometido a un ataque de contraseña.

Por supuesto, esto permitirá un número ilimitado de intentos de contraseña por parte de cualquiera .

Gastos generales administrativos

Las empresas y organizaciones tienen que pagar a las personas para que ayuden a desbloquear las cuentas de los clientes / empleados. La forma más común es mediante el uso de un sistema de restablecimiento de contraseña a través de correo electrónico. Cuesta dinero desarrollar, apoyar, integrar y mantener un sistema como este. Sin embargo, es bastante rentable para las otras alternativas.

Una mesa de ayuda ayudará a resolver cualquier problema que el sistema de correo electrónico no pueda. Si un usuario olvidó la contraseña de su sitio, ¡quizás también olvidó la contraseña de su contraseña de correo electrónico!

Debilidades

Las escuelas grandes, bancos, organizaciones pueden ser atacadas con un ataque de contraseña de diccionario. Cuando hay más cuentas, hay más posibilidades de un ataque exitoso. Y cuando puedes atacar una cuenta muchas veces antes de que sea bloqueada, tiene una mayor probabilidad de ser comprometida.

Si la escuela UCLA tiene 40,000 estudiantes, esperaría que algunas de las cuentas tengan contraseñas que incluyan "UCLA", "bruins", "college", así como contraseñas débiles.

Conclusión

Depende de los administradores, administradores, etc., elegir la política de contraseñas que se ajuste a su situación. Muchas cosas se incluirían en esta decisión y algunas son: el costo de la pérdida de datos, la sobrecarga administrativa, el costo de la seguridad, el costo del tiempo de inactividad potencial.

    
respondido por el ponsfonze 04.03.2013 - 20:31
fuente
0

Bueno, la moneda tiene dos caras.

La interacción de desbloqueo está ahí para que un humano de confianza, la persona de la mesa de ayuda, compruebe que la persona que solicita el desbloqueo es realmente usted . Esto se puede hacer por teléfono, preguntándole algunos detalles ... Y esto puede ser rápido, siempre que la mesa de ayuda esté abierta. Aquí, una mesa de ayuda 24/7 es útil.

Por otra parte, odio cuando una cuenta está bloqueada por un tiempo determinado, por ejemplo 15 minutos. Si realmente desea hacer algo ahora , no puede hacer nada, no puede llamar al servicio correcto, debe esperar 15 minutos. Esto es frustrante y esto me parece más bloqueante.

    
respondido por el Nicolas Barbulesco 04.03.2013 - 21:53
fuente

Lea otras preguntas en las etiquetas

¿Por qué necesito tanto la contraseña de root como la contraseña de usuario en Fedora Linux? En este ejemplo, ¿por qué mezclan un trozo de sal generado al azar antes de mezclarlo con la contraseña?