Bloqueo de cuenta para proteger de la fuerza bruta: ¿no abre vulnerabilidades a los ataques de DOS? [duplicar]

2

AFAIK la práctica recomendada para mitigar los ataques de fuerza bruta es bloquear una cuenta durante, por ejemplo, 15 minutos (¿tal vez aumentar el tiempo de bloqueo si el ataque continúa después?) después de, digamos, 5 intentos de inicio de sesión fallidos.

Entiendo el razonamiento (mitigación de la fuerza bruta) pero todavía hay una cosa que me preocupa. Es decir, ¿esto no hace que el sitio sea vulnerable a bloqueos de cuentas maliciosas?

Versión menos severa: a un troll pequeño no le gusta el usuario X, por lo que ingresan una contraseña trivialmente incorrecta para la cuenta X 5 veces seguidas. Repita después de 15min.

Versión más severa: ataque completo de DOS, ataque automatizado de "fuerza bruta" contra los usuarios recientemente activos del sitio web únicamente con el propósito de desencadenar el mecanismo de bloqueo. Digamos que el sitio web tiene alrededor de 1000 conexiones por día; ataque contra usuarios que iniciaron sesión la semana pasada = en la mayoría de las 7000 cuentas, mucho menos en realidad, digamos solo 3500; 5 intentos de inicio de sesión = 17500 intentos de inicio de sesión, no lo sé pero esto parece definitivamente factible, ¿no es así? Y ese ya es un sitio bastante popular: para los sitios web más vulnerables a tales ataques (¿foros de Internet?) ¡Estos números pueden ser incluso dos órdenes de magnitud menores!

No entiendo esta práctica. ¿No mitiga los ataques de descifrado de contraseñas de fuerza bruta al costo de abrir vulnerabilidades evidentes a los ataques de DOS?

    
pregunta gaazkam 16.11.2018 - 21:16
fuente

2 respuestas

1

Sí, tiene razón, siempre es necesario basarse en la gestión de riesgos de la situación y comprender cuáles son sus riesgos y cuál es el problema principal que desea resolver mejor que los otros problemas.

Una buena práctica es combinar, por ejemplo, puede implementar un retraso de inicio de sesión que realmente no perjudicará su experiencia de usuario, pero hará la vida difícil para los malos. Digamos, haga un retraso aleatorio de 2 segundos a 10 y no bloquee a su usuario durante más de 2 minutos.

Y es mejor usar captcha incluso sin bloquear a los usuarios (o bloquear solo después de una gran cantidad de inicios de sesión fallidos basados en la dirección IP y no en el nombre del usuario) ..

Una buena referencia para leer (no es exactamente lo que estás preguntando, pero es interesante para obtener información): enlace

    
respondido por el Yossi 16.11.2018 - 22:21
fuente
0

Usted tiene toda la razón, al bloquear las cuentas se crea una vulnerabilidad de DOS. Si los atacantes pueden eliminar los nombres de usuario del sitio web, pueden bloquear fácilmente a muchos usuarios. Este tipo de defensa contra ataques de fuerza bruta no se recomienda, esto contiene la defensa adecuada contra ataques de fuerza bruta.

    
respondido por el CoderPE 16.11.2018 - 23:24
fuente