Contraseña segura vs. restricción en el número de intentos

La información de la tarjeta de crédito no pretende ser pública. Si alguien es brutal forzando una tarjeta de crédito, existe la posibilidad de que sea realmente buena , que se la hayan robado o que sus detalles hayan sido comprometidos de alguna manera. Es por eso que bloquear una tarjeta de crédito tiene sentido.

La ID de Gmail, por otra parte, es para uso público. Puede mostrarse en algún perfil o sitio web en línea, puede imprimirse en una tarjeta de presentación, etc. Básicamente, su intención es proporcionar a las personas su identificación, para que puedan usarla para comunicarse con usted. Esa es la razón por la cual bloquearle su cuenta de GMail cada vez que alguien decida iniciar sesión con su identificación pública (ya sabe, solo por diversión) es una mala idea. El servicio completo podría ser cerrado por alguien con mucho tiempo libre, determinación y una lista suficientemente larga de direcciones de correo electrónico. :)

  

¿Por qué los servicios de Internet no funcionan de la misma manera?

Fundamentalmente, porque los usuarios no lo quieren.

Implementar medidas de seguridad más fuertes significaría gastar dinero para hacerlo, y para la mayoría de los servicios de Internet, las medidas más fuertes también impactarán negativamente en la base de usuarios y el uso del servicio. Especialmente si eres un servicio de Internet impulsado por los ingresos por publicidad (como la mayoría), lo último que quieres hacer es evitar que las personas usen tu servicio por un período de tiempo, ya que se pierden ingresos.

El equilibrio entre seguridad y comodidad es difícil en el mejor de los casos, y cuando se trata de servicios basados en Internet, es excepcionalmente difícil, porque los usuarios típicos y la gran mayoría de los usuarios simplemente no están dispuestos a sacrificar ninguna conveniencia en Todos, no importa cuánta seguridad obtengan a cambio. Como verás, los esquemas típicos de complejidad de contraseñas permiten contraseñas como Password1 . Los usuarios típicos escogen una contraseña simple y simple como esa, y la usan para todo. (Como todos los grandes volcados de contraseñas verifican). No les gusta que les digan que no pueden usar su contraseña porque es ridículamente débil.

Solo quieren usar el servicio y no están dispuestos a sufrir muchos inconvenientes por hacerlo. Con muy pocas excepciones, si su servicio no los permite, hay muchos servicios competidores casi idénticos que lo harán, y ahí es donde irán. Y si no están dispuestos a "aguantar" el uso de algo que se parezca remotamente a una contraseña decente, ciertamente no tolerarán que se les cierre el servicio o que se les imponga una contraseña / frase segura real.

Hasta ese punto, aquí hay una estimación y un análisis de uso decentes para la autenticación de dos factores de Gmail. opción , que enlaza un documento de investigación de EuroSec 2015 (pdf) que llega muy estimaciones similares. Una forma gratuita, opcional, muy segura (y fácil, conveniente) de proteger su cuenta de Gmail para que no sea secuestrada ... y alrededor del 6.5% de las personas pueden molestarse en usarla.

Entonces, si Google solo puede lograr que un 6,5% de las personas utilicen una capa de seguridad conveniente y gratuita para su servicio en línea, nadie tiene la posibilidad de imponer medidas de seguridad más sólidas a sus usuarios.

La respuesta simple es que ambas deben ser las mejores prácticas. Las contraseñas complejas reducen los cambios que se pueden adivinar y la restricción de intentos (nota: pero no elimina) la posibilidad de que un usuario malintencionado pueda forzar las credenciales.

El argumento contrario es que ambas medidas tienen un impacto en la conveniencia y la facilidad de uso. Dado el número de contraseñas que tenemos para los servicios en estos días, limitar el número de intentos aumenta enormemente la posibilidad de falsos positivos (la probabilidad de que un usuario sea bloqueado cuando son quienes dicen ser, pero simplemente han olvidado su contraseña).

El aumento de la complejidad de la contraseña hace que sea más difícil recordar una contraseña y aumenta la superficie de ataque de otras rutas (contraseñas escritas / guardadas en el navegador, etc.).

Para las tarjetas bancarias, han optado por usar códigos de acceso relativamente simples, confiando en una restricción de intentos bastante estricta (tres intentos y estás bloqueado). Combinado con el hecho de que la mayoría de los terminales de tarjetas están tripulados, o al menos monitoreados, la seguridad adicional de un código de acceso complejo no valdría la pena el mayor tiempo para ingresar o la posibilidad de olvidar. La velocidad es el rey, en este escenario.

A la inversa, para un sitio web, los usuarios son anónimos, por lo que no existe esa comprobación. Las contraseñas complejas ayudan a combatir ese escenario, pero la restricción de intentos mal implementada podría hacer que los usuarios genuinos se bloqueen por olvido o malicia.

Tenga en cuenta que esto no es, como lo sugiere su título, un escenario u otro. No hay nada que impida que se usen los métodos de ambos , aparte de la compensación por conveniencia, o la pereza por parte del diseñador.

  

El problema que imagino radica en el hecho de que otra persona puede ser capaz de   para bloquear tu cuenta. Pero probablemente la verificación de la dirección IP sea suficiente.

Sí, otro usuario podría causarle una Denegación de Servicio al hacer que su contraseña sea incorrecta a propósito. No estoy seguro de cómo se puede tener en cuenta la dirección IP aquí. Si supusieron de otra dirección IP que usas habitualmente, ¿significa que obtendrán visitas ilimitadas? Si no, ¿cómo diferenciaría entre un atacante y un usuario real que inicia sesión desde una IP diferente (digamos que su enrutador se ha reiniciado y su ISP les ha asignado una nueva IP)?

La diferencia entre las tarjetas bancarias y una contraseña es que las tarjetas bancarias son dos factores. Necesita algo que tenga, la tarjeta y algo que sepa, el PIN. Podría decirse que podría implementar su esquema si se usa la autenticación de dos factores, porque entonces para cada conjetura de la contraseña necesitarían proporcionar su segundo factor (por ejemplo, Yubikey, código de SMS o Google Authenticator), y el sistema solo lo cuenta contra su total si esto se suministra correctamente.

Además, un bloqueo por un día o una semana podría ser bastante inconveniente si la contraseña fue escrita de forma incorrecta.

La otra cosa contra la que los indicadores de seguridad de la contraseña ayudan a proteger es cuando un atacante recupera los hash de la contraseña de un sistema y el atacante intenta descifrarlos sin conexión. En este caso, no es posible limitar la velocidad más que la estiramiento de la tecla mediante la iteración del hash de la contraseña de manera probada para ralentizar cualquier ataque.

Esto es de particular importancia porque a pesar de las advertencias de lo contrario, los usuarios reutilizarán las contraseñas en diferentes sistemas, por lo que el que elijan para Gmail puede coincidir con el que eligen para un sitio menos seguro que obtiene su lista de contraseñas. Inyección SQL. Asegurar que la contraseña sea sólida en primer lugar ayuda a proteger a sus usuarios en otros lugares.

Nikita y Hopeless cubrieron la mayor parte. Solo me gustaría agregar que algunos sitios web "un poco" usan el método de restricción. Si recuerdas el problema, era "fácil" adivinar las contraseñas y que no había límite a la cantidad de intentos que tenías con una contraseña y, por lo tanto, funcionaba la fuerza bruta. Apple corrigió ese error al restringir la cantidad de veces que se puede ingresar una contraseña incorrecta desde una IP. No estoy seguro de cuántas VPN están rastreando para llegar a la IP original, pero configuran un tiempo de reutilización si ingresaste la contraseña incorrectamente demasiadas veces. Muchos otros sitios web hacen esto también, lo que significa que si intenta una contraseña incorrecta 10 veces, obtendrá un tiempo de reutilización de 30 minutos para intentar iniciar sesión nuevamente, solo en la dirección IP en la que se produjeron esos intentos. Si esto sigue sucediendo, el tiempo de reutilización se alarga.

Como dijo Nikita, el problema con la cancelación / bloqueo que se usa en las tarjetas de crédito es que puede causar una gran cantidad de estragos, ya que puede "fácilmente" obtener la dirección de correo de incluso Bill Gates.     

Costos de servicio al cliente

Estas respuestas son excelentes, y me gustaría agregar que es posible que no estén implementando eso en los servicios gratuitos debido al costo del servicio al cliente para administrar las cuentas bloqueadas. Es mucho más sencillo para estas compañías implementar retrasos de tiempo cortos o captcha para retardar los ataques automatizados, por lo que no necesitan lidiar con clientes enojados que se han cerrado después de 10 intentos y que probablemente no serán lo suficientemente rápidos para provocar cualquier retraso. Ataques automatizados.

  

¿Por qué los servicios de Internet no funcionan de la misma manera? Por ejemplo, después de 10 contraseñas incorrectas, su cuenta se bloquearía por un día, luego de diez más

Tienes tu respuesta allí mismo. Los servicios de Internet no bloquean las cuentas después de unas pocas contraseñas incorrectas porque eso bloquearía al usuario legítimo. El atacante intenta 10 contraseñas comunes y se bloquea. Ahora el usuario legítimo desea conectarse, obtiene su contraseña en el primer intento ... pero no puede iniciar sesión.

  

Pero probablemente la verificación de la dirección IP será suficiente.

No, las verificaciones de direcciones IP no son particularmente útiles, porque es muy fácil para los atacantes tener control sobre muchas direcciones IP. Alquile tiempo en las instancias de Amazon, use Tor y otros servicios de proxy, use redes de bots de máquinas infectadas ... Si limita a 10 intentos globalmente, se bloqueará al usuario legítimo. Si limita a 10 intentos por dirección IP, entonces el atacante puede realizar miles de intentos simplemente navegando desde la dirección IP a la dirección IP. Incluso en ese caso, el usuario legítimo puede ser bloqueado: en países que llegaron tarde a Internet o con ciertos ISP, todo el tráfico se NAT a través de algunas máquinas y miles de usuarios o más pueden terminar detrás de la misma dirección IP. p>

El sistema de bloqueo en las tarjetas de crédito funciona porque la tarjeta normalmente está en posesión del usuario legítimo. Si el atacante está en posición de intentar adivinar el PIN, eso generalmente significa que han robado la tarjeta, y el usuario legítimo tendrá que visitar su banco para obtener una tarjeta de reemplazo de todos modos. Esto falla con los servicios de Internet donde es difícil para el usuario legítimo recuperar el acceso a su cuenta.

La autenticación de dos factores puede ser de gran ayuda allí. Para aliviar la carga de la autenticación, los sistemas que ofrecen autenticación de dos factores a menudo aceptan un solo factor si se cumplen ciertas heurísticas. Aceptar solo la contraseña si el intento proviene de una dirección IP conocida, pero requerir el segundo factor si ha habido muchos intentos de contraseña no válidos recientemente, es un buen diseño.