¿Es mi enfoque lo suficientemente bueno como para proteger la fuerza bruta?

2

No quiero particularmente implementar Captcha en mi formulario de inicio de sesión para un sitio web. Pero ya tengo un mecanismo de bloqueo.

¿Cuál es la mejor manera de protegerse de los ataques de Fuerza Bruta?

Esto es lo que estaba pensando:

  1. Implemente un bloqueo, así que después de 30 inicios de sesión fallidos, bloqueo la cuenta del cliente. 30 es un número arbitrario, pero creo que el ataque de fuerza bruta no va a adivinar dentro de 30, y cualquier cliente que lo intente 30 veces probablemente tendrá que llamar para restablecer la contraseña de todos modos.

  2. ¿O debería simplemente ignorar la fuerza bruta, y tal vez implementarla en un firewall, hay un firewall que pueda detectar y detener los ataques de fuerza bruta?

Creo que la opción 2 es mejor porque la fuerza bruta no agotará los recursos de mi servidor si las solicitudes no la alcanzan.

    
pregunta Richard G 24.07.2015 - 07:14
fuente

4 respuestas

4

Como ya han mencionado otros, actualmente la forma recomendada de implementar el bloqueo es requerir un Captcha solo después de algunos intentos fallidos de inicio de sesión. Este método es bueno tanto desde el punto de vista de seguridad como de usabilidad: el Captcha es muy eficaz para detener los ataques automáticos, pero solo exigiéndolo después de algunos inicios de sesión fallidos hace que los usuarios legítimos casi nunca lo vean. (Otro beneficio es que ninguna persona real está "realmente" bloqueada; pueden seguir intentándolo siempre que puedan seguir respondiendo al Captcha correctamente, lo que requiere tiempo y esfuerzo suficientes para que no se considere un riesgo de seguridad significativo).

Si realmente desea evitar el Captcha por completo, los dos métodos que presente funcionarán si se implementan adecuadamente, pero ninguno de ellos es ideal en cuanto a la facilidad de uso. Si usa la Opción 1, alguien podría bloquear intencionalmente otros nombres de usuario, ya sea solo para causar problemas o para vengarse de otro usuario. Si es un sitio pequeño, puede que no sea un gran problema, pero si el sitio es lo suficientemente grande, está garantizado que suceda en algún momento.

La opción 2 es un poco mejor, pero debes considerar las direcciones IP compartidas. Muchas escuelas y empresas tienen cientos o miles de computadoras detrás de una única dirección IP pública, por lo que si se prohíbe esa IP, muchos usuarios legítimos podrían verse afectados.

    
respondido por el tlng05 24.07.2015 - 16:47
fuente
1

¿Cómo planea implementar el bloqueo? Es por nombre de usuario o dirección de red. Si considera la primera opción, tenga en cuenta que el atacante puede lanzar un ataque de denegación de servicio para cualquier número de usuarios válidos (puede simplemente forzar una gran cantidad de contraseñas no válidas para cada nombre de usuario válido y así bloquear las contraseñas correspondientes). usuario).

Los intentos de bloqueo en la red pueden superarse si el atacante lanza un ataque de fuerza bruta sincronizada desde (suficientes) estaciones de trabajo múltiples, cada una con una dirección de red diferente.

¿Qué hay de malo en usar un captcha? Es mucho más fácil de implementar y evitará muchos futuros dolores de cabeza.

    
respondido por el Sebi 24.07.2015 - 20:23
fuente
0

Tienes razón, la única forma de protegerte contra los ataques de fuerza bruta es un bloqueo. Esto siempre se implementa cuando el espacio de contraseña es muy pequeño, por ejemplo. para PIN de 4 dígitos en tarjetas bancarias o SIM de teléfono.

Tenga cuidado ya que la opción # 1 (no permitir el inicio de sesión después de n intentos de inicio de sesión fallidos) se puede usar como DoS para bloquear a un cliente. Si desea hacer esto, debe colocar un CAPTCHA en su lugar que se inicie después del inicio de sesión fallidos de m , con m < n .

La opción # 2 (en la lista negra de la dirección IP después de n intentos de inicio de sesión fallidos) es mucho mejor. Cómo implementarlo depende del servidor OS; en Linux tienes fail2ban .

    
respondido por el dr01 24.07.2015 - 09:57
fuente
0

No estoy seguro de si pudo solucionar este problema o no, pero nuestro producto ofrece ambos. Tenemos un dispositivo que filtra su tráfico.

En lugar de tener que insertar un desafío CAPTCHA cada vez que se solicita una instancia de su página de inicio de sesión, realizamos un análisis del solicitante para determinar si son un bot. Lo hacemos con una huella dactilar de 200 puntos y una serie de desafíos del navegador. Si estamos seguros de que es un bot, realizamos una de varias acciones (según su preferencia): bloquear, CAPTCHA, servir contenido alternativo o simplemente monitorear.

Los beneficios son: 1. Uso juicioso de CAPTCHA mientras se previenen intentos automáticos de fuerza bruta 2. Un búfer que borra el tráfico entre Internet y su origen, lo que reduce la carga en su sitio.

De todos modos, la compañía se llama Distil Networks, tenemos cientos de clientes y ayudamos a proteger miles de millones de dólares en ingresos. Aquí puede encontrarnos si desea obtener más información: enlace

Aquí hay una pieza que hicimos con algunos clientes que tienen problemas similares: enlace

Déjame saber si tienes alguna pregunta. [email protected]

    
respondido por el pzav111 02.08.2016 - 23:28
fuente

Lea otras preguntas en las etiquetas