Algunos sitios web bloquean a un usuario después de una serie de intentos de contraseña incorrecta, por ejemplo, durante 15 minutos. Si un actor malintencionado lo sabe, ¿pueden intentar iniciar sesión con contraseñas incorrectas cada 15 minutos para evitar que la persona real inicie sesión? ¿Es esta una amenaza real y, de ser así, cómo pueden los sitios web protegerse contra ella?
La protección de fuerza bruta de inicio de sesión se puede aplicar de tres formas:
En mi perspectiva, CAPTCHA es la solución más razonable para evitar el riesgo de fuerza bruta y la denegación de servicio debido al bloqueo de la cuenta. Es posible que haya visto un CAPTCHA en las páginas de inicio de sesión de Facebook y Gmail en caso de que ingrese una contraseña incorrecta más de tres o cuatro veces. Esa es una forma decente de restringir los robots de la fuerza bruta y al mismo tiempo evitar el bloqueo de los usuarios.
El bloqueo permanente no es una solución novedosa y agrega una gran cantidad de gastos operativos al equipo de soporte al cliente si tienen que desbloquear manualmente la cuenta para el usuario. Por otro lado, el bloqueo temporal impide el uso de fuerza bruta, pero al igual que el escenario que mencionó, puede bloquear a un usuario genuino.
Sí, algunos sitios web lo hacen para evitar ataques de fuerza bruta o de contraseña. En lugar de prohibir al usuario, el sitio web debe prohibir que la dirección IP acceda al sitio web.
Si el atacante está saltando de una dirección IP a otra y está realizando el ataque de fuerza bruta, en ese caso, el sitio web puede prohibir la identificación del usuario y notificar al usuario prohibido a través de correo electrónico o de alguna otra manera o puede estar prohibiéndole una breve duración de tiempo también hará lo necesario.
Otros respondedores ya han ofrecido algunos medios valiosos mediante los cuales un sitio web puede evitar el abuso de medidas contra la adivinación de contraseñas para bloquear a las personas. Aquí hay otro: IP lista blanca.
@Skynet ya sugirió listas negras, pero hoy en día los atacantes pueden crear botnets well más de un millón de dispositivos en tamaño , que podrían no ser muy efectivos contra un atacante ingenioso. (Tenga en cuenta que un atacante no tendría que construir una botnet de este tipo: muchos ciberdelincuentes alquilan el acceso a sus robots).
Entonces, si bien las listas negras pueden ofrecer una defensa contra un atacante menos poderoso, si un ataque se amplía a un gran número de direcciones IP, una alternativa sería intentar restringir el acceso a las direcciones IP que se han utilizado anteriormente para iniciar sesión correctamente. a la cuenta.
Por supuesto, aún debe tenerse cuidado: si un atacante tiene acceso a un dispositivo que utiliza una dirección IP incluida en la lista blanca, un sitio web debe mirar para asegurarse de que esto no permita que el atacante escape de la detección de fuerza bruta. Además, dado que un usuario puede tener una dirección IP dinámica o por algún otro motivo, intente iniciar sesión desde una nueva IP, debe haber algún mecanismo alternativo mediante el cual el usuario pueda omitir el bloqueo de inicio de sesión, como:
Sí y se ha hecho antes. Esto puede causar un gran problema con ciertos sitios web. OWASP enumera algunos ejemplos de cómo puede ir mal en su página en Bloqueo de ataques de fuerza bruta ...
El bloqueo de la cuenta a veces es efectivo, pero solo en entornos controlados o en los casos en que el riesgo es tan grande que incluso los ataques DoS continuos son preferibles a la cuenta. En la mayoría de los casos, sin embargo, el bloqueo de la cuenta es insuficiente para detener los ataques de fuerza bruta. Considere, por ejemplo, un sitio de subastas en el que varios oferentes están peleando por el mismo artículo. Si el sitio web de la subasta impuso los bloqueos de cuentas, un licitador podría simplemente bloquear las cuentas de los demás en el último minuto de la subasta, lo que evitaría que enviaran las ofertas ganadoras. Un atacante podría usar la misma técnica para bloquear transacciones financieras críticas o comunicaciones de correo electrónico.
Sí, esta es una amenaza real y debe ser considerada cuando construyas tus defensas de fuerza bruta. Este tipo de ataques también se han llevado a cabo, por lo que no es puramente teórico.
Normalmente, en la actualidad, un sistema proporcionará a un usuario bloqueado algunos medios para restablecer su cuenta, generalmente a través de un canal separado (correo, SMS, etc.)
Sí, es posible. Pero se puede evitar usando CAPTCHA, si el formulario de inicio de sesión lo tiene, la única forma de lograrlo sería ingresar manualmente las contraseñas incorrectas y es un riesgo menor. El atacante debe estar realmente enojado para pasar todo el día bloqueando su cuenta
También debe indicar que la cuenta está bloqueada cuando el usuario ingresa sus credenciales correctamente para evitar la enumeración de la cuenta y nunca distinga cuando el atacante ingresa la contraseña incorrecta o si el usuario no existe
Lea otras preguntas en las etiquetas account-security account-lockout