¿Es efectivo verificar cuántas veces se ingresó la misma contraseña por temor a un ataque de tiempo de comparación de cadenas?

Navega tus respuestas
1

¿Cuántas veces tendría que ingresar un atacante la misma contraseña cuando realiza un ataque de sincronización de cadenas? Supongo que tendría que ser por lo menos una docena de veces para promediar el retraso de la red, por ejemplo. Si el número es significativamente mayor que el que un usuario normal ingresaría, ¿es la verificación de la cantidad de veces que una persona ingresa una contraseña es una forma efectiva de combatir los ataques de comparación de cadenas? Por ejemplo, si los intentos de la misma contraseña exceden de 100, entonces requieren un CAPTCHA? ¿Es esto más eficiente en recursos que simplemente revisar toda la contraseña?

    
pregunta APCoding 22.07.2015 - 16:28
fuente

1 respuesta

5

Ya debe haber intentos de inicio de sesión que limitan la velocidad después de algunas solicitudes (bloqueo temporal, CAPTCHA, Clippy apareciendo y reprendiéndolo, etc.). Esta es una forma común de detener los ataques de fuerza bruta, y también paralizará seriamente a los que intentan realizar ataques de sincronización.

Editar:

Además, si has hasheado las contraseñas y las buscas en una base de datos, los ataques de tiempo no deberían ser muy relevantes. El atacante tendría que ser capaz de producir hashes arbitrarios para "encajar" gradualmente en el correcto. ¡Esto es muy difícil!

Los ataques de tiempo serán más relevantes para cosas como cookies de sesión

    
respondido por el etherealflux 22.07.2015 - 16:47
fuente

Lea otras preguntas en las etiquetas

¿Se pueden recuperar los SMS eliminados desde teléfonos basados en Android? [cerrado] ¿Es seguro publicar alguna IP interna de mi empresa?