¿Un nuevo error para restablecer la contraseña de Facebook?

Navega tus respuestas
2

Basado en this y this artículos, el escritor afirma ser capaz de transigir sobre 2 millones cuentas mediante el uso de la función de código de reinicio, y Brute forzando el código de reinicio de 6 dígitos.

Tengo que hacer preguntas principales sobre eso, independientemente de la verdad sobre el ataque:

  • ¿Hacer que el código de reinicio sea mucho más grande ayudará a resolver el problema, o Facebook necesitará una nueva tecnología de reinicio?
  • Cómo defenderme de este ataque, ¿debo restablecerlo nuevamente después de recibir el mensaje de restablecimiento del proceso de ataque, o debo restablecerlo por correo?

Editar:

Crédito: @Dog eat cat world.

Solo para aclarar el problema, el atacante, en lugar de forzar a los usuarios con un cierto código de reinicio, lo hace a los usuarios de gran escala.

    
pregunta Emadeddin 08.09.2016 - 10:30
fuente

1 respuesta

2

La debilidad aquí es la falta de Entropía en el código de restablecimiento de contraseña.

Quiero decir que eliges un número aleatorio de 6 dígitos (338625) y lo intentas contra muchos usuarios. Así que el atacante tiene que adivinar un código de reinicio de 10^6 posibilidad. En algún momento puede funcionar.

Cálculo: Dado que Facebook tiene una gran base de usuarios y recibe un gran número de solicitudes de restablecimiento de contraseñas, digamos 10000 ( 10^4 ) en 3 minutos antes de que caduquen, lo cual es comparable a 10^6 .

La probabilidad de que este código de descanso de contraseña sea válido contra algún usuario es 0.01 .

  

Está haciendo el código de reinicio mucho más grande ayudará a resolver el problema,   ¿O Facebook necesitará una nueva tecnología de reinicio?

Facebook puede simplemente arreglarlo aumentando la entropía del código de restablecimiento de contraseña. Esto se puede hacer fácilmente por:

  • Tener alfabetos ( [A-Z|a-z] - 52 ), dígitos ( 0-9 - 10 ), caracteres especiales ( decir 10 ) en el código de restablecimiento de contraseña.
  • Teniendo una buena extensión de, por ejemplo, 10 caracteres (Respuesta de Rory McCune).

Cálculo: Para un código de reinicio de longitud 6, el atacante ahora tiene que adivinar un código de reinicio entre (52+10+10)^6 .

La probabilidad de que este código de restablecimiento elegido aleatoriamente por el atacante coincida con un código de restablecimiento de contraseña válido entre los 10^4 anteriores es 0.000000071 o 7.1*10^-8 . En lugar de hacer esto, el atacante tiene más posibilidades de adivinar la contraseña y de probarla con muchos usuarios.

  

Cómo defenderme de este ataque, debería restablecerlo nuevamente después de que   recibir el mensaje de reinicio del proceso de ataque, o debo   restablecer por correo?

Creo que los esfuerzos para protegerse contra este ataque deberían provenir de Facebook.

Desde entonces, los usuarios pueden no mirar el mensaje de restablecimiento / correo electrónico tan pronto como llegue. Desde el punto de vista del usuario, todo lo que puedo pensar es habilitar la autenticación de dos factores.

    
respondido por el Sravan 08.09.2016 - 11:12
fuente

Lea otras preguntas en las etiquetas

Ingresando accidentalmente parte de la contraseña en el nombre de usuario en un sitio web seguro ¿Debo cumplir con PCI DSS para las transferencias bancarias?