Rechazar la contraseña correcta la primera vez

0

Estaba pensando en la seguridad de las contraseñas y pensé en una posible forma de frenar los ataques de fuerza bruta.

El proceso de inicio de sesión imaginario debería simplemente rechazar las contraseñas una o dos veces, incluso cuando son correctas. Si bien este UX es malo y debe explicarse al usuario, debilita la posibilidad de hacer contraseñas fáciles de adivinar mediante ataques de diccionario, etc., al menos por el factor 2 o 3.

¿Hay más inconvenientes, además de la mala UX mencionada?

Adición:

¿Qué piensas acerca de los impactos positivos con respecto a

  • Phishing
  • Ingeniería Social

Las contraseñas robadas no funcionan en el primer intento. Según el conocimiento de los atacantes sobre el sistema, incluso las contraseñas robadas pueden marcarse como "no funciona".

Para guardar UX, podría aparecer en dispositivos desconocidos.

Desventajas: ¿seguridad a través de la oscuridad?

Afortunadamente, no planeo implementar esto como una "característica", se trata más de pensamientos teóricos.

    
pregunta Florian Senn 10.06.2017 - 11:26
fuente

1 respuesta

3

Un mal UX mata la seguridad. La mayoría de los usuarios buscarán soluciones alternativas, y estará luchando contra sus usuarios en lugar de ayudarlos / trabajar con ellos.

Le sugiero que pruebe esta técnica antigua en su lugar. Vi esto primero en la autenticación de Open-Radius y me gustó de inmediato.

Usa una constante de tiempo, respuesta retardada. es decir, incluso si completa la verificación en el back-end rápidamente, espere un tiempo aleatorio que sume 1s o aproximadamente antes de responder al usuario. Tiene múltiples ventajas. Una de ellas es desalentar la fuerza bruta al reducir las velocidades de ataque.

Aunque tiene un pequeño costo. Si tiene un sistema de alto tráfico, en las horas punta puede tener demasiadas conexiones abiertas. Eso no es un gran problema, siempre y cuando configure su software para compensar.

    
respondido por el Sas3 10.06.2017 - 11:36
fuente

Lea otras preguntas en las etiquetas