¿Existe algún riesgo en permitir más intentos fallidos de inicio de sesión antes de hacer autostop por más tiempo?

5

La mayoría de los servicios y software parecen tener una configuración baja de "ráfaga", como de 3 a 5 intentos de inicio de sesión antes de un autoban temporal por un par de minutos. Especialmente los bancos tienen un límite muy bajo antes de que se deniegue el acceso.

Lo encuentro muy molesto y, cuando es posible, siempre lo configuro para permitir 15 (o más) intentos de inicio de sesión. Mi contraseña no está en el diccionario y es obligatorio forzar la entrada de archivos en menos de 15 intentos. Si tiene varias contraseñas posibles, por ejemplo, al mirar por encima de mi hombro, es probable que aún necesite algunos intentos. En algunos casos, el software benigno intenta automáticamente una serie de inicios de sesión (por ejemplo, Filezilla FTP), lo que hace que ya se active el autoban debido a eso.

Cuando configuro un número mayor de intentos fallidos de inicio de sesión, también lo configuro para prohibirlo por un período más largo (por ejemplo, 24 horas en lugar de unos pocos minutos). Seguramente no es un usuario legítimo, o realmente olvidaron su contraseña y necesitan restablecerla de todos modos.

¿Por qué no hay más sitios web y software que hagan esto por defecto? Por ahora tengo una lista bastante larga (mental) de contraseñas que utilizo. Después de no usar un servicio por un tiempo, puede ser cualquiera de al menos 3 contraseñas diferentes, cada una con 2 o 3 variaciones, y cada variación debe escribirse dos veces para asegurarse de que lo escribió correctamente. Además, los servicios que permiten solo 3 intentos suelen ser también los que imponen contraseñas ridículas (8 caracteres en mayúsculas, minúsculas, dígitos, caracteres especiales, sin espacios, no más de 12 caracteres ... intente recordar qué permutación usó allí para hacer este trabajo).

Lo mismo vale para retrasar los intentos de inicio de sesión, los enrutadores FritzBox son realmente buenos en esto. Un intento fallido es un retraso de 8 segundos, los siguientes 16, los próximos 32 ... realmente genial, excepto que mis dedos gordos podrían terminar obteniéndome un retraso de 16 segundos, mientras que solo tuve dos intentos fallidos. Prefiero que me limite a dos intentos por segundo y salte a 300 segundos de retraso después de 10 intentos.

¿Por qué muchos de los programas de software incluyen solo algunos intentos de inicio de sesión y prohibiciones breves, en lugar de un mayor número de inicios de sesión y una prohibición prolongada? Este último me parece mucho más práctico. ¿Hay alguna razón de seguridad válida detrás de esto, o es simplemente otra de esas prácticas comunes que existen porque tuvieron sentido en algún momento de la historia?

    
pregunta Luc 07.09.2013 - 23:59
fuente

4 respuestas

5
  1. Muchas personas tienen contraseñas muy cortas muy débiles: el 40% de todos los usuarios comparten las mismas 100 contraseñas, el 14% comparte las mismas 10 contraseñas (consulte artículo ). Por lo tanto, incluso 10 o 20 contraseñas pueden ser suficientes para un atacante que rastrea varias cuentas de usuario. De ahí la barra de corte bajo.

  2. Si el usuario es legítimo y simplemente ha escrito mal su contraseña varias veces, es probable que la haya olvidado. A algunas organizaciones les gusta ser contactadas directamente para restablecer la contraseña, a pesar de la posible sobrecarga de soporte.

  3. Aunque personalmente me gustan los bloqueos de tiempo exponenciales; a menos que una organización tenga soporte técnico 24/7, los bloqueos de tiempo se convertirán en bloqueos de usuarios normales durante un fin de semana. Además, un ataque distribuido a través de varios usuarios a la vez puede reorganizar los retrasos exponenciales de manera tal que, en una curva de campana, algunas cuentas de usuario se resquebrajen mucho antes de que el retraso exponencial para un solo usuario implicaría.

  4. La organización puede suponer que una denegación de servicio puede resolverse de manera suficiente o es poco probable que un bloqueo DDoS de todos los usuarios sea una preocupación baja.

  5. Una organización puede sentir que el acceso del usuario a su servicio es un privilegio y que la información del usuario o del servicio es más valiosa que la capacidad del usuario para acceder a él. De ahí una prioridad hacia la seguridad operativa en lugar de la comodidad del usuario. Después de todo, los usuarios reales rara vez son invitados como partes interesadas directas en los talleres de diseño de software.

  6. Las soluciones iniciales para los puntos 1 a 5 se crearon en los primeros sistemas informáticos y, a menudo, se copiaron como "lo suficientemente buenas" para los sistemas informáticos que se crearon décadas más tarde. Los sistemas originales que incluían inicio de sesión remoto eran proyectos militares y universitarios; donde el usuario era un suplicante no un cliente.

respondido por el LateralFractal 08.09.2013 - 04:56
fuente
3

No generalizaría sus habilidades de selección de contraseña para el público en general. Los usuarios a menudo reutilizarán contraseñas débiles y tal vez podrían adivinarse.

También existe la consideración de soporte. Digamos que usted bloquea a alguien después de 5 malos intentos durante 20 minutos. Quizás después de bloquear el ataque se movió a otra cuenta, eso significa que después de 20 minutos, la cuenta ahora está abierta al usuario real. Ese es un intervalo realmente corto, pero dentro de un período de 24 horas, el usuario legítimo todavía estaría bloqueado. Ahora tienen que llamar a soporte para que su cuenta esté desbloqueada y también pueden entrar en pánico. Desde el punto de vista de soporte de usuarios, tal vez preferirían reducir el volumen de llamadas de desbloqueo manual.

O más probablemente, solo están haciendo lo que "todos los demás" están haciendo o lo que creen que es de conocimiento común. También es posible que "algún auditor" les diga que lo hagan. Un retroceso exponencial puede ser una buena técnica para un punto, pero suena como unas pocas líneas más de código para administrar [sarcástico, pero en una gran organización puede haber un costo real en dólares asociado con tales un pequeño cambio]; poco probable, pero es posible que el almacenamiento / procesamiento de un tiempo y el recuento durante un ataque basado en un bot para el retroceso exponencial pueda tener un efecto negativo en el rendimiento a escala.

    
respondido por el Eric G 08.09.2013 - 02:01
fuente
0

Una breve respuesta para su pregunta es mitigar el riesgo de DoS para los usuarios reales al no deshabilitar la cuenta durante un período prolongado. Por sitios difieren en su C.I.A. Los requisitos y lo que funciona para uno puede no ser aplicable para otro.

    
respondido por el AdnanG 08.09.2013 - 05:55
fuente
0

En cuanto a tu pregunta básica, debes considerar las ramificaciones de cada esquema. Los tiempos exactos tienen más que ver con la paranoia y el volumen de llamadas de soporte técnico que el análisis de seguridad formal.

En términos de fuerza bruta, tienes que intentar MUCHOS intentos. Los intentos de fuerza bruta sin conexión pueden recuperar el 90% o más de las contraseñas porque se ejecutan a cientos de miles o millones de contraseñas por segundo . Los usuarios pueden compartir contraseñas, pero incluso una prohibición de 5 minutos reduce de manera efectiva los intentos de fuerza bruta a 1 contraseña / minuto. Además de eso, los atacantes generalmente no tienen acceso a todos los nombres de usuario. Lance las listas negras de IP de bots de spam conocidos y es un ataque realmente poco práctico. A los piratas informáticos les resultaría mucho más fácil simplemente rastrear el tráfico de red y registrar las pulsaciones de teclado utilizando un virus.

Una prohibición de cinco diez minutos es más corta que el tiempo requerido para que un cliente se comunique con el soporte técnico. Si el usuario no puede resolverlo después de (por ejemplo) 3 prohibiciones, es probable que el usuario se ponga en contacto con el servicio de atención al cliente o restablezca su contraseña, ya que probablemente la hayan olvidado de todos modos. Entonces, ¿cuál es el punto de prohibirlos por 24 horas usando un esquema complejo? Eso solo va a frustrar a un usuario ya frustrado.

Esquemas más complejos pueden tener sentido para Wordpress y otros marcos que no tienen equipos dedicados que filtran los robots de spam. Sin embargo, la mayoría de estos tipos de marcos de trabajo envían sus contraseñas en texto sin formato y, de todos modos, sería mejor simplemente externalizar la identificación del usuario a Google / Yahoo / Mozilla.

Para los bancos y otros objetivos de alto valor, estos esquemas complejos se aplican porque los atacantes están motivados para realizar ataques sofisticados similares. Los casos frustrantes ocurren cuando el administrador de TI único para una organización tiene tanto paranoia como la falta de una mierda sobre el usuario final. Para ellos, piensan que si son capaces de memorizar contraseñas complejas o usar software de administración de contraseñas, ¿por qué el usuario final no puede hacerlo?

    
respondido por el Indolering 08.09.2013 - 21:29
fuente

Lea otras preguntas en las etiquetas