¿Cómo puede Facebook detener un ataque de fuerza bruta en una cuenta?

Navega tus respuestas
6

Recientemente he estado investigando sobre piratería y encontré algunos tutoriales muy interesantes sobre craqueo por fuerza bruta. Tengo algunas preguntas que hacer y usaré Facebook como ejemplo.

Digamos que un hombre decide descifrar la contraseña de una sola cuenta. Descarga algún programa de fuerza bruta y lo configura para probar cada combinación de contraseña con diferentes IP. La misma IP se usaría hasta que aparezca el captcha, luego será reemplazada por una nueva, por lo que Facebook no podrá detener el ataque bloqueando la IP.

Tal vez soy estúpido (no tengo experiencia en esto) pero la única forma en que Facebook puede usar para detener este ataque es bloquear la cuenta (evitando que alguien inicie sesión), pero eso es malo. para los negocios porque impediría que el propietario inicie sesión. ¿Facebook realmente hace esto para tales ataques? Supongo que un sitio web grande como Facebook recibiría este tipo de ataques con frecuencia de diferentes crackers, y algunos de ellos pueden atacar varias cuentas al mismo tiempo.

Entonces, ¿qué hace Facebook para evitar esto? Porque no veo nada que pueda hacer además de bloquear la cuenta, lo cual no es práctico. Puede tomar meses o años, pero con este método, el hacker finalmente podrá iniciar sesión, ¿no es así?

    
pregunta George 18.03.2015 - 14:33
fuente

3 respuestas

5

A pesar del hecho de que Facebook bloquea las cuentas después de muchos intentos, como lo dicen las otras respuestas, debe tener en cuenta que "reemplazar su IP por una nueva" no es tan trivial como parece.

La mayoría de los proveedores de servicios de Internet le permiten liberar su concesión de IP y obtener una nueva dirección IP, pero el atacante generalmente recibirá una de un grupo pequeño de unos pocos cientos a unos pocos miles de direcciones IP.

Claro, hay servidores proxy y la red TOR, pero estos solo proporcionarán al atacante unos cientos de IP adicionales.

Cuando el atacante tiene acceso a una botnet, podría usar cada bot de la botnet para solicitar la cantidad de IP que pueda obtener de sus respectivos ISP (buena suerte haciendo esto sin que el usuario se dé cuenta de nada). Pero las botnets grandes son caras.

La falsificación de la dirección IP tampoco funcionará, ya que la falsificación de IP no es fácil de hacer cuando no solo se envían paquetes, sino que también se reciben las respuestas. Cuando quiera forzar un inicio de sesión HTTP, deberá realizar primero un protocolo de enlace TCP, que requiere poder recibir respuestas. Además, ciertamente desea analizar la respuesta para saber si tuvo éxito.

E incluso cuando teóricamente podrías usar todas las ~ 4 mil millones de direcciones IPv4 que internet tiene para ofrecer, multiplicar tus intentos por 4 billones solo te da suficientes intentos de contraseñas de fuerza bruta con 4-6 caracteres adicionales (dependiendo de cuántos caracteres diferentes haya la contraseña contiene).

Y por último, pero no menos importante, el principal problema de la fuerza bruta a través de la red es el ancho de banda que tiene disponible, lo que limita enormemente sus intentos por segundo en comparación con lo que puede hacer cuando realiza hashes de fuerza bruta localmente.

Cuando usa una contraseña de 8 caracteres con mayúsculas y minúsculas, números y caracteres especiales y sin relación de diccionario (recomendación común), el forzamiento bruto a través de la red es completamente inviable, incluso cuando el sistema no utiliza protección contra inundaciones en absoluto.

    
respondido por el Philipp 18.03.2015 - 23:03
fuente
2

Sé que Facebook tiene algunas configuraciones de seguridad diferentes y que no todas las personas las utilizan en la mayor medida posible, por lo que solo iré con las configuraciones que conozco por experiencia personal. Su kilometraje puede variar.

Facebook tiene un método incorporado para determinar los dispositivos elegidos por los usuarios que tienen acceso a la cuenta. Si alguien de un nuevo dispositivo intenta iniciar sesión en mi cuenta, recibiré un mensaje (correo electrónico o mensaje de texto) que un nuevo dispositivo ha intentado (o ha logrado) acceder a mi cuenta. Esto, en sí mismo, en realidad no "detiene" los ataques de fuerza bruta, pero si se combina con la autenticación de dos pasos, puede hacerlo.

    
respondido por el KnightHawk 18.03.2015 - 16:02
fuente
1

Facebook bloquea temporalmente las cuentas. Después de demasiados fallos de autenticación, temporalmente bloquea la cuenta de Facebook durante algunas horas y requiere un código de verificación / pregunta de seguridad para desbloquear la cuenta para más intentos de verificación. Después de un período de tiempo de espera de 24, puede iniciar sesión de nuevo. Para el consumidor, 24 horas sin Facebook no es el fin del mundo. Para la fuerza bruta, un retraso de 24 horas cada X intentos es un gran dolor. Es un buen compromiso entre usabilidad y protección.

Por supuesto, incluso en este escenario, un atacante podría entrar en una cuenta con una cantidad de tiempo suficiente. Pero ahora la cantidad suficiente de tiempo se mide en meses y años.

    
respondido por el Ohnana 18.03.2015 - 15:08
fuente

Lea otras preguntas en las etiquetas

¿Es necesaria la intoxicación por ARP? ¿Por qué Symantec no cree que sus clientes se vean afectados por Google desconfiando de este certificado raíz?