Vectores de ataque para contraseñas de sitios web de fuerza bruta

  

¿De qué otra manera podría llevarse a cabo un ataque de contraseña de fuerza bruta?

Has cubierto ambas bases, y eso es realmente sobre eso. Envíelo repetidamente a la interfaz web que esté disponible o administre para obtener una copia de los hashes descifrando el servidor de la base de datos, abusando del software web.

El craqueo de la interfaz web suele ser más un problema de fuerza inteligente que de fuerza bruta, y como resultado, funciona mejor de lo que supondría. Por ejemplo, dado un sitio web que tenía un directorio de la compañía (primero, último, y extensión) para aproximadamente 100 personas, pude "forzar la fuerza" del 30% de las cuentas simplemente al juntar algunas conjeturas algorítmicas con esos datos. Y el sitio de autenticación era Microsoft Exchange, así que me mantuve por debajo del umbral de los bloqueos recomendados por la NSA y estaba bien. (De hecho, esto fue una prueba de lápiz y lo verifiqué antes de probar para asegurarme de no bloquear a los usuarios, pero fue una suposición fácil de hacer correctamente). Incluso con la lenta tasa de adivinación, terminé en menos de un día.

He visto una cantidad justa de sitios que cambian el comportamiento en función de las credenciales proporcionadas; envíe un nombre de usuario que no exista y posiblemente reciba un mensaje de error único o una respuesta HTTP más rápida en lugar de enviar un par de nombre de usuario / contraseña legítimo.

Una idea: supongamos que roba con éxito una sesión válida de un usuario que ha iniciado sesión y la función de cambio de contraseña requiere que ingrese la contraseña existente. Es posible que pueda forzar con éxito el formulario de cambio de contraseña sin activar bloqueos o captchas. para descubrir la contraseña original.

Gowenfawr ya cubrió la enumeración de usuarios (si lo entendí correctamente).

La mayoría de los sistemas (si no todos), las políticas de bloqueo son para cada cuenta. Por lo tanto, debería ser posible iterar sobre todos los usuarios que conoce, probando una cantidad de contraseñas que lo mantendrían por debajo del umbral de bloqueo para cada cuenta. Y una vez que se haya alcanzado el tiempo de gracia para los inicios de sesión no válidos, intente nuevamente.

¡¿No estaría esto también muy cerca de un ataque de cumpleaños en la contraseña de los usuarios ?!

Leí un artículo sobre un estudiante que hizo algo similar a un banco en línea. El nombre de usuario era el número de seguro social y el cliente bancario promedio era un hombre de entre 30 y 40 años. Generó números de seguridad social aleatorios para este grupo de edad e intentó diferentes pines (el inicio de sesión fue solo un código de 4 dígitos). Creo que pudo acceder a una cuenta bancaria en línea por cada ~ 20k intentos.

La razón por la que la fuerza bruta es un tema de discusión popular es en gran medida la cultura pop: es relativamente fácil de entender para las personas que no entienden cómo funcionan las computadoras, por lo que hay muchos tropos y descripciones comunes de esta clase de ataques. Su viabilidad práctica es más limitada.

Dicho esto, los sistemas de software homebrew son a menudo vulnerables de manera que los sistemas analizados a fondo tienden a protegerse. Por ejemplo, la implementación adecuada del bloqueo requiere la recopilación y el almacenamiento de ciertos datos por usuario y por cliente. No es infrecuente que los programadores inexpertos no estén dispuestos o políticamente no puedan, digamos, definir los campos o tablas de SQL adicionales y, por lo tanto, descuiden la implementación de una política de bloqueo. Es una regla general que los sistemas diseñados sin un análisis de seguridad adecuado tienden a poner demasiado énfasis en el aspecto accesibilidad de la seguridad de los datos, y subrayan el aspecto de confidencialidad , y dado que el bloqueo tiene Implicaciones inmediatas para la accesibilidad, incluso puede ser desfavorecida por algunas organizaciones con sitios web.

En teoría , los ataques de fuerza bruta deben limitarse a un conjunto muy pequeño de posibles escenarios, por la sencilla razón de que si su sistema de autenticación no protege contra los ataques de fuerza bruta está roto, punto .

En realidad , muchos sistemas de autenticación están dañados y, de hecho, permiten ataques de fuerza bruta. Sus protecciones son inexistentes o no son efectivas.

Además, como lo adivinaste correctamente, puedes realizar un ataque de fuerza bruta si controlas la ejecución, es decir, si tienes la base de datos de contraseñas, el texto cifrado o cualquier otra información datos que quieras atacar .

También hay un subconjunto específico de ataques de fuerza bruta en el que se evita la protección contra la fuerza bruta. En hardware, a veces puede deshabilitar la protección de fuerza bruta o devolver el dispositivo a un estado anterior (por ejemplo, recuperar desde la copia de seguridad) e intentarlo de nuevo. Este es un escenario muy específico con condiciones muy limitadas para que funcione, pero hace unos años hubo un caso de iPhone donde el FBI intentó este enfoque, aparentemente con éxito.