Observo que encfs no puede montar un sistema de archivos cuando se ingresa una contraseña incorrecta.
Sin embargo, esta capacidad de detectar si una contraseña es correcta o incorrecta puede permitir que se realicen ataques de fuerza bruta.
¿Hay alguna forma de deshabilitar la comprobación de la contraseña en encfs?
Me doy cuenta de que esto tendrá algunos inconvenientes, como fallas silenciosas cuando un usuario genuino ingresa una contraseña incorrecta. Sin embargo, esto podría ser mitigado por el usuario mediante un script personalizado. Por ejemplo, un script que monta encfs y luego hace un cat mountPoint/welcomeMessage.txt
. El usuario sabría por la salida si el montaje fue exitoso o no. Creo que esto es mucho más seguro porque los ataques de fuerza bruta no son posibles sin un conocimiento previo del contenido de welcomeMessage.txt.
Si no es posible deshabilitar la comprobación de contraseñas en encfs, ¿es una vulnerabilidad ?