¿Las redes de bots pueden / hacer que la fuerza bruta obligue a usuarios de "alto valor" de servicios como Gmail?

11

En una intranet, el inicio de sesión generalmente se deshabilita después de un número muy pequeño de inicios de sesión fallidos.

Pero un servicio de correo electrónico público como Gmail no puede hacer lo mismo, de lo contrario, los bromistas estarían bloqueando continuamente a las personas.

A diferencia de la fuerza bruta de un archivo de contraseña que tiene localmente, el acceso a una cuenta específica en un servicio remoto como Gmail implica una latencia significativa en la red, lo que limita considerablemente la velocidad de un enfoque de fuerza bruta.

Y el servicio puede introducir retrasos artificiales, por ejemplo. espere unos segundos sin importar lo que pase antes de rechazar o aceptar un inicio de sesión.

Y puede aumentar la demora por dirección IP desde la cual se produjo un intento fallido de inicio de sesión.

Pero solo puede ir tan lejos con demoras antes de que ellos mismos faciliten los ataques DoS: si el usuario válido llega a través de un proxy, cualquier otra persona que pase por el mismo proxy puede aumentar la demora de inicio de sesión para ese usuario con intentos fallidos de inicio de sesión. Por lo tanto, el retraso solo se puede aumentar hasta ahora.

Pero incluso un retraso de 5 segundos, que solo molestaría levemente a un humano, frustraría el forzoso brutal de una sola máquina.

Pero ¿qué pasa con una botnet? Los más grandes tienen varios cientos de miles de máquinas.

Si todos hacen solo unos pocos intentos, esto significa que la contraseña de la víctima solo tiene que estar en e.g. Los 10 mil más comunes.

He visto el viejo análisis de 2011 que sugiere que el 30% de las contraseñas de los usuarios se encuentran en el más común 10 mil.

Así que tienes una posibilidad de 1 en 3 de descifrar la cuenta dada.

Pero tal vez:

  • El tiempo de las redes de bots es demasiado valioso para usarlo, incluso por un corto tiempo, para descifrar una cuenta individual.
  • El aumento de la autenticación de dos factores y los sistemas de administración de contraseñas hacen que los objetivos de alto valor sean más difíciles de alcanzar.
  • Los servicios como Gmail pueden vigilar activamente a los usuarios que están sujetos a frecuentes intentos de piratería, por ejemplo. celebridades, y asegúrese de que utilizan la autenticación de dos factores.
  • Los usuarios de alto valor que probablemente son víctimas de un ataque coordinado probablemente ya hayan sido pirateados una vez y hayan aprendido la lección, por lo que las posibilidades de éxito de un ataque de botnet son demasiado bajas para justificarlo.
  • El cumplimiento de las reglas sobre la complejidad de las contraseñas ha cambiado los porcentajes que he citado.

Lo siento si sientes que esto es una repetición de las preguntas existentes. @woliveirajr sugiere en esta respuesta que debe introducir un CAPTCHA después de algunos intentos fallidos.

Si no haces esto en una dirección IP, entonces algunos usuarios (celebridades, etc.) deben completar CAPTCHAs todo el tiempo. Si lo hace en una dirección por IP, todavía obtendrá muchos intentos (ver más arriba) que cubren un porcentaje significativo de las contraseñas más comunes.

¿Gmail o alguien más hace esto, es decir, requieren CAPTCHA después de varios intentos fallidos de inicio de sesión?

Un número de respuestas en esta pregunta popular menciona el bloqueo de personas después de varios intentos fallidos, pero como señalado anteriormente, creo que solo se puede hacer esto en una intranet de la empresa, no en algo como Gmail, donde se usaría de inmediato para DoS.

    
pregunta George Hawkins 02.02.2015 - 11:45
fuente

1 respuesta

7

Gmail requiere la resolución de CAPTCHA cuando detecta un comportamiento sospechoso para una cuenta, incluso si las solicitudes se originan en varias direcciones IP.

Siempre se debe establecer un equilibrio entre experiencia de usuario y seguridad de usuario . Si una celebridad usa Gmail, prefiere ingresar un CAPTCHA cada vez que tener sus correos electrónicos divulgados públicamente. Además, incluso si aún no está "predeterminado", se debe usar la autenticación de 2 factores para las cuentas confidenciales, ya que disminuye considerablemente el riesgo de que la cuenta se vea comprometida.

En mi opinión, los retrasos de cualquier tipo no se deben utilizar para la aplicación web , ya que solo contribuyen a la frustración del usuario y también ayudan a crear ataques DoS.

    
respondido por el Dinu S 02.02.2015 - 12:01
fuente

Lea otras preguntas en las etiquetas