De esa manera, el pirata informático no sabrá si tiene los datos de inicio de sesión correctos o no.

Si la información presentada después del inicio de sesión no tiene relación con la persona para la que debe iniciar sesión, la mayoría de los piratas informáticos reconocerán rápidamente que el inicio de sesión probablemente no sea el verdadero.

Pero, para mostrar información que parece que se adapta al usuario, podría ser necesario un esfuerzo considerable. También debe crearse específicamente para cada usuario y mostrar cierta información verdadera sobre el usuario para que no parezca falsa, pero no demasiado, por lo que no se filtra información importante.

No puede esperar que su proveedor haga esto por usted, pero puede intentar hacerlo usted mismo en muchos casos, es decir, agregar otra cuenta de correo electrónico, otra cuenta de Facebook, etc.

El concepto que está describiendo se denomina Denegación plausible y los métodos para proporcionarlo tienen de hecho, se ha implementado en algún software, VeraCrypt como ejemplo.

Un problema con su implementación en sitios web, como usted sugiere, es que es muy difícil para el desarrollador del sitio web crear datos falsos que sean lo suficientemente realistas como para engañar a un atacante sin revelar información confidencial sobre el usuario. En software de cifrado como VeraCrypt, esa tarea se transfiere al usuario, que obviamente está en una posición mucho mejor para hacerlo.

Porque los hackers no atacan los formularios de inicio de sesión

La falla es que usted asume que los piratas informáticos ingresan a las cuentas mediante el uso de credenciales de fuerza bruta contra servicios remotos. Pero eso es inútil de todos modos.

Cualquier sitio web con seguridad decente (a los sin a la seguridad decente tampoco le importará su idea) tendrá un límite impuesto sobre cuántos intentos de inicio de sesión fallidos pueden realizarse en un determinado período de tiempo por IP Dirección, usualmente algo así como 5 intentos fallidos cada 6 horas. Si la seguridad es un poco más fuerte, es posible que las cuentas también necesiten una acción por parte del propietario luego de varios intentos fallidos y / o que el propietario reciba una notificación de intentos fallidos de inicio de sesión o incluso de todos los inicios de sesión desde nuevos dispositivos.

Entonces, mientras que los ataques de fuerza bruta pueden ser factibles contra datos simples (como los hash de contraseña expuestos en una violación), no son factibles contra ningún servicio, incluso con un poco de seguridad.

Para los atacantes, es mucho más fácil realizar phishing o, mejor aún, configurar un servicio gratuito genuino y trabajar en el supuesto de la reutilización de la contraseña:

Tampoco he oído hablar de ningún servicio o dispositivo que implemente esto.

El caso en el que un atacante está presente y te obliga a iniciar sesión es bastante poco probable. Es más probable que solo se lleven tu iPhone de $ 1000 y se ejecuten.

Sin embargo, es muy posible que esto suceda si el "atacante" es un guardia de seguridad / oficial de la TSA en un punto de control de seguridad del aeropuerto. Especialmente si se encuentra en un país extranjero. (Hubo un charla de Defcon sobre este tema hace algunos años).

sitios web

Probablemente no tendría mucho sentido implementar esto en un sitio web. Si usted (el administrador) está seguro de que alguien que intenta acceder a una cuenta es un pirata informático, simplemente bloquee / bloquee la cuenta. Problema resuelto.

Si el atacante intenta acceder a varias cuentas, probablemente sabrán que algo está mal si pueden iniciar sesión "con éxito" en varias cuentas en el primer o segundo intento.

Teléfonos

Si bien los teléfonos no permiten inicios de sesión falsos (?), puede configurarlos para que se bloqueen después de que la contraseña no se haya ingresado correctamente n veces.

  

El agente atacante / TSA le dice que desbloquee el teléfono. Usted ingresa intencionalmente una contraseña incorrecta en el primer intento.

     

"Oh, oops, contraseña incorrecta ..."

     

Usted ingresa la contraseña incorrecta nuevamente en el segundo intento.

     

"Lo siento, mis manos se ponen sudorosas cuando estoy nervioso ..."

     

Usted ingresa una contraseña incorrecta en el 3er intento. ¡El teléfono está bloqueado por 30 minutos!

Por supuesto, esto no funcionará si está recitando la contraseña al atacante y la está ingresando en el teléfono. Y creo que la mayoría de los bloqueos de teléfonos solo duran 30 minutos (?), Tiempo durante el cual el atacante / agente de TSA hará todo lo posible para "convencerlo" de que recuerde la contraseña en una habitación trasera.

Laptops

Su sugerencia sería relativamente fácil de implementar en una computadora portátil ...

Crea 2 o más perfiles de usuario.

El primer perfil que nombre después de usted (nombre y apellido). Estableces una imagen tuya como la imagen de perfil. Esta será tu cuenta "falsa". Establece la contraseña como algo simple y fácil de recordar. Ponga algunas "cosas personales" en la cuenta (música, fotos de su mascota, documentos de "trabajo", etc.).

La segunda cuenta le da un nombre genérico de miembro de la familia ("hubby", "the kids", "honey", etc.). Mantener la imagen de perfil por defecto. Establecer una contraseña segura. Esta será la cuenta con privilegios de administrador en la computadora portátil y la cuenta que utilizará para su trabajo importante / confidencial.

Ahora imagine un escenario en el que está obligado a iniciar sesión ...

  

Estás en un aeropuerto en Oceanía, a punto de volar a casa a Eurasia. La seguridad del aeropuerto lo detiene en su camino a través de la terminal.

     

Seguridad: "¡Danos tu pasaporte y tu computadora portátil!"

     

Les entregas el portátil y el pasaporte. Encienden la computadora portátil e intentan iniciar sesión en la cuenta que usted nombró como usted. Al ver que necesitan una contraseña, exigen que les digas la contraseña.

     

Usted: "La contraseña es opensea . Sin espacios".

     

La seguridad del aeropuerto ingresa la contraseña e ingresa con éxito su cuenta falsa.

     

Después de mirar por unos minutos y no encontrar nada que les interese, se desconectan e intentan iniciar sesión en su cuenta real.

     

Seguridad: "¿De quién es esta cuenta? ¿Cuál es la contraseña?"

     

Tú: "Esa es la cuenta de mis hijos. La contraseña es 123dogs ."

     

Ellos ingresan la contraseña, pero no pueden iniciar sesión.

     

Seguridad: "¡Esa contraseña es incorrecta! ¡Dinos la contraseña correcta!"

     

Actúa sorprendido y les pide que le entreguen la computadora portátil para que pueda intentar iniciar sesión. Le entregan la computadora portátil y usted comienza a escribir contraseñas falsas.

     

Tú: "¡Esos niños, les dije que NO cambiaran la contraseña! Lo siento, ¡se suponía que solo debían usar esa cuenta para sus estupendos videojuegos!"

     

La seguridad del aeropuerto se confunde entre sí y luego le permite seguir su camino. Usted regresa de manera segura a Eurasia sin que se haya comprometido la información confidencial de su computadora portátil.

No es exactamente el contexto que tenías en mente, pero en realidad hay sistemas que implementaron esta idea. Solía trabajar en una instalación (algo sensible) donde cada empleado tenía dos códigos para deshabilitar el sistema de alarma: uno normal y un código de coacción. Si usara el código de coacción, el sistema se desactivaría para no ponerlo en peligro, pero se activaría una alarma silenciosa en el centro de monitoreo. Estoy leyendo en Wikipedia que esto también se consideró para el banco ATM en los EE. UU. pero finalmente se descartó.

Otro concepto similar es el " honeypot ". Algunos de ellos podrían, de hecho, aceptar cualquier credencial o servir datos ficticios cuando son atacados, para poder registrar lo que hace un atacante o explotar la situación (por ejemplo, capturar la carga útil de un gusano).

En cuanto a por qué no es más común en productos de consumo, servicios en línea, etc., simplemente hay una compensación entre los beneficios (qué tan probable es un ataque en particular, si disuadiría efectivamente a los criminales o simplemente los incitaría a cambiar ligeramente) su técnica) y los costos (sistemas más complejos de desarrollar, mantener y certificar, lo que también significa una mayor superficie de ataque que podría permitirle a un atacante un punto de entrada, ancho de banda y costos operativos reales para proporcionar datos ficticios a todas las botnets que atacan constantemente los servicios en línea , esfuerzo por crear datos ficticios creíbles para engañar a ataques más sofisticados).

Esto se denomina 'Tecnología de engaño' en el mundo cibernético donde la solución engaña a los enemigos cibernéticos (atacantes) con señuelos llave en mano (trampas) que "imitan" sus verdaderos activos. Cientos o miles de trampas pueden implementarse con poco esfuerzo, creando un campo de minas virtual para los ataques cibernéticos, alertándole de cualquier actividad maliciosa con inteligencia procesable de inmediato. Las trampas llevarán detalles de inicio de sesión, datos ficticios, sistemas ficticios, etc. para engañar al atacante al indicar que el sistema es real.

La tecnología de engaño es una categoría emergente de defensa de seguridad cibernética. Los productos de tecnología de engaño pueden detectar, analizar y defenderse contra el día cero.  (donde el tipo de ataque / procedimiento no se conoce antes) y ataques avanzados, a menudo en tiempo real. Son automáticos, precisos y proporcionan información sobre la actividad maliciosa dentro de las redes internas que pueden ser ocultos por otros tipos de defensa cibernética. La tecnología de engaño permite una postura de seguridad más proactiva al tratar de engañar a los atacantes, detectarlos y luego derrotarlos, lo que permite a la empresa volver a las operaciones normales.

Puede consultar el siguiente enlace para algunos proveedores de soluciones: enlace

Esto se ha hecho en el pasado, bastante exitosamente, pero depende mucho de lo que es el sistema.

En un momento dado, no era raro que los sitios web de acceso pagado detectaran automáticamente cuando una cuenta iniciaba sesión con demasiadas direcciones IP o con otros patrones sospechosos y redirigía a esos usuarios a una versión del sitio que era principalmente anuncios y enlaces de afiliados. a otros sitios. Si se hace bien, compartir las credenciales de inicio de sesión robadas podría convertirse en un centro de ingresos.

También hay sitios web que dirigen a los usuarios a diferentes versiones según la dirección IP u otros criterios; La versión más sencilla de esta es la publicidad dirigida.

Para el acceso de shell, es posible dirigir un inicio de sesión a una jaula con chroot que tiene solo una pequeña sección de disco y binarios especialmente aprovisionados, que pueden no ser necesariamente los mismos que el sistema general.

Primero que nada, no llamaría hacker al hacker en este escenario. Un pirata informático está tratando de sortear la seguridad que ofrece el sitio web; en su caso, al atacante no le importa qué tan seguros son sus servicios, le importa qué tan fácil es intimidar al usuario y qué hacer con el cuerpo después.

En segundo lugar, se han hecho credenciales alternativas que cambian su acceso, pero si hace más que presentar una visión restringida de la verdad, es mucho trabajo y una utilidad limitada.

La razón por la cual es de utilidad limitada, es porque sus usuarios lo saben, debe suponer que cualquier atacante también lo sabe. Supongamos que hiciste esto para una tarjeta de cajero automático de modo que mostrara un saldo de menos de cien dólares para limitar tu pérdida. O el atacante pide ambas (en cuyo caso la víctima tiene, como mucho, un 50% de posibilidades de no perder más) o simplemente incluye como parte de sus demandas que produce más que eso: "si no obtengo al menos 200 estás muerto ".

No es totalmente inútil, pero solo es efectivo contra un atacante ignorante. Confiar en que el atacante no sepa que algo se llama seguridad en la oscuridad, también conocido como "lo lograron".

Para la web y para un ataque remoto, como muchas personas dijeron anteriormente, además de la dificultad de crear contenido de usuarios falsos, existe el problema de: ¿cómo sabes que es un inicio de sesión comprometido?

Quiero decir, si asumes que hay algún tipo de actividad sospechosa, como un ataque de fuerza bruta, puedes bloquear el inicio de sesión para esa IP y tal vez para esa cuenta por un tiempo ( hasta que el verdadero propietario de alguna manera valide su identidad)

Los únicos casos útiles son inicios de sesión forzados , esa es otra historia y una idea bastante bonita. Aquí está la implementación que imagino para una red social:

1. El usuario crea él mismo una cuenta con datos ficticios, y la configura como su cuenta ficticia.
2. Cuando hay un inicio de sesión forzado en marcha, como jelous gf o bf que te extorsiona para iniciar sesión, luego pones la contraseña falsa y la hay! ha iniciado sesión en su hermosa cuenta ficticia de creación propia.

PERO Tampoco es una solución perfecta. Es probable que el atacante te conozca y, si es tu ex loco, por ejemplo, puede que consulte el registro de chat contigo y sabrá que acabas de iniciar sesión en la cuenta falsa.

Esto es especialmente relevante porque será una característica pública bien conocida de la plataforma en la que está, por lo que cualquier persona que lo obligue sería capaz de verificar si usted está o no.

Para bancos u otros sitios, es una buena idea.

El problema es que los usuarios deben saberlo, por lo que debe suponer que cualquier atacante también lo sabe.

Para mí, esto suena como si estuvieras invitando al atacante a bailar contigo.

"Oye, atacante, ¿quieres hackear mi sitio web? ¡Bueno, aquí hay un sitio web de inicio de sesión falso para ti!"

Ciertamente, no quieres invitar al atacante a bailar contigo porque puede resultarle divertido y desafiante, lo que le dará aún más motivación para intentar piratear tu sitio web.