¿Debo registrar contraseñas incorrectas? [duplicar]

Navega tus respuestas
0

Tengo una aplicación web pública donde cualquier persona puede registrar una cuenta. Las contraseñas que almaceno están saladas y hash.

Cuando alguien trata de adelantar la cuenta de otra persona mediante contraseñas de adivinación, me gustaría saber esto. Por ese motivo, me gustaría registrar todos los intentos fallidos de inicio de sesión.

Creo que no sería un problema registrar el tiempo, la dirección IP y el intento de nombre de usuario. Pero, ¿sería aceptable también registrar la contraseña incorrecta en texto claro para que pueda detectar los patrones que el atacante está intentando, o sería el riesgo de deducir las contraseñas correctas de intentos de inicio de sesión mal escritos de usuarios legítimos demasiado grandes?

    
pregunta Philipp 22.02.2014 - 13:23
fuente

1 respuesta

3

Aprecio de dónde vienes, pero esto es realmente muy peligroso en un sistema de producción. Si bien podría ser kosher si el 100% de todos los intentos fallidos de contraseña fueran de hecho personas malvadas aleatorias que intentan ingresar en su sistema, el hecho es que un lote de contraseñas malas realmente serán usuarios legítimos. Typos simples. Y ahí está el problema: si alguien se las arreglara para obtener su caché de contraseña incorrecta, es probable que tengan un montón de contraseñas legítimas apenas tipeadas que de otra manera no tendrían forma de saber. En efecto, todos los usuarios que escribieron mal su contraseña tendrían que dramáticamente debilitara su cuenta en el caso de una infracción, posiblemente muy fatalmente.

El registro de qué cuentas tiene contraseñas incorrectas, y con qué frecuencia , puede ser muy útil en la auditoría. Así que para eso, adelante. Simplemente no registre las contraseñas fallidas.

(En la práctica, las contraseñas que obtendrías al hacer lo que estás proponiendo probablemente sean las mismas que están disponibles para herramientas como John the Ripper. De todos modos, si te preocupa que las contraseñas de los usuarios se vean comprometidas, es probable suficiente para usar una herramienta como John y ejecutar contraseñas conocidas en sus cuentas de usuario.)

    
respondido por el Benjamin Pollack 22.02.2014 - 13:46
fuente

Lea otras preguntas en las etiquetas

Empezando, ¿dónde debería buscar las vulnerabilidades? ¿Grandes sitios de recompensa vs. proyectos más pequeños? [cerrado] ¿Por qué los navegadores filtran su información de versión al servidor web?