¿Los hacks de las aplicaciones web convencionales tienden a ocurrir más por forzados aleatorios forzados o por ataques heurísticos dirigidos?

1

Estoy escribiendo un consejo para seleccionar una contraseña maestra para un administrador de contraseñas, y me pregunto si hay datos disponibles sobre la probabilidad de ataques diferentes que resulten en una contraseña resquebrajada. Me interesan los datos relevantes para lo que un usuario puede controlar con la contraseña en sí (por lo tanto, algo como el phishing no está en mi radar, ya que la vulnerabilidad es el usuario en lugar de la cadena de caracteres en sí).

Entonces, para una contraseña segura, creo que lo recomendaré, en orden descendente de importancia:

  • longitud (fuerza bruta)
  • singularidad (fuerza bruta inversa, nombre de usuario / contraseña coincidentes del sitio A pirateado para asegurar el sitio B)
  • impersonalidad (adivinanzas basadas en datos personales conocidos)
  • facilidad de memorización (indirectamente relevante; los tres primeros hacen que una contraseña sea difícil de recordar, por lo que debe decidir si va a sacrificar esos para recordar mejor o si va a escribirla y corre el riesgo de que el papel sea robado )

Tengo una extensión en la parte superior porque 1) la investigación generalmente la cita como la mejor y más fácil manera de hacer que una contraseña sea más segura y 2) en mi experiencia, los ataques parecen ser masivos / aleatorios más de lo que están destinados a un promedio usuario final.

Sé que hay un montón de advertencias; El modelo de amenaza para el correo electrónico de un político de alto nivel es diferente al Facebook de un adolescente. Tal vez confíes en tu caja fuerte más que en tu memoria. Pero, ¿hay datos relevantes que respondan esta pregunta en un nivel alto?

EDIT para reformular la pregunta:

Si debo hacer una compensación en la fuerza de mi contraseña en algún lugar (como para hacer que mi contraseña sea más fácil de recordar, la acortaré o usaré mi fecha de nacimiento en lugar de números aleatorios) , ¿qué ataque debe tratarse como más probable para el usuario promedio de una aplicación web convencional?

    
pregunta Brendan 09.10.2018 - 00:43
fuente

1 respuesta

1

Creo que la pregunta en el título se responde mejor como: tampoco. En mi experiencia, los ataques contra aplicaciones web convencionales están automatizados contra fallas en las aplicaciones web y no en las contraseñas en sí mismas. Mi empresa experimenta ataques diarios para Wordpress, Joomla y otros sistemas CMS. Están explotando fallas (principalmente inyección de SQL) para obtener acceso a todo el sistema.

Ataques contra usuarios, no tengo datos.

Los ataques dirigidos contra usuarios se dividen en dos categorías: ataques contra todos los usuarios; y ataques contra un usuario específico.

Tiene sentido que los ataques contra todos los usuarios como @reed se mencionó, sean contra contraseñas débiles o crackeo de hash sin conexión.

En el caso de ataques de usuarios dirigidos, el atacante tendría como objetivo el restablecimiento de contraseñas inseguras como en el Sarah Palin Yahoo Email hack o usar metadatos en el usuario para averiguar qué es probable para su contraseña.

    
respondido por el NathanC 09.10.2018 - 02:33
fuente