Cuando se habla de seguridad de contraseñas, muchas discusiones se centran en el riesgo de que una contraseña sea adivinada en un ataque de fuerza bruta. Para los sitios web donde un usuario ha registrado una cuenta, ¿cuáles son los posibles vectores para un ataque de fuerza bruta?
Ingresar los pares de nombre de usuario / contraseña en los campos de autenticación del sitio web directamente es uno, pero a menudo se ve mitigado por un tiempo de espera o bloqueo después de intentos fallidos. Realizar un ataque a una base de datos robada de contraseñas con hash es otra, pero se supone que la base de datos se ha comprometido. ¿De qué otra manera podría llevarse a cabo un ataque de contraseña de fuerza bruta (asumiendo que estamos hablando de cuentas de sitios web, no de Unix, servicios, etc.)?