Alcuni siti Web bloccano un utente dopo una serie di tentativi di password errati, ad esempio per 15 minuti. Se un attore malintenzionato lo sa, può tentare deliberatamente di accedere con password errate ogni 15 minuti per impedire l'accesso alla persona reale? È una vera minaccia e, in tal caso, in che modo i siti Web possono proteggerli?
La protezione da brute-force di accesso può essere applicata in tre modi:
Dal mio punto di vista, CAPTCHA è la soluzione più ragionevole per evitare il rischio di bruteforce e di negazione del servizio a causa del blocco degli account. Potresti aver visto un CAPTCHA visualizzato nelle pagine di accesso di Facebook e Gmail nel caso in cui inserisci una password errata più di tre o quattro volte. Questo è un modo decente per limitare i bot dalla bruteforcing e allo stesso tempo evitare di bloccare gli utenti.
Il blocco permanente non è una soluzione innovativa e aggiunge un sovraccarico operativo al team di assistenza clienti se è necessario sbloccare manualmente l'account per l'utente. Il blocco temporaneo d'altra parte scoraggia bruteforcing, ma come lo scenario che hai citato, può bloccare un vero utente.
Sì, alcuni siti Web lo fanno per prevenire attacchi a bruteforce o indovinare la password. Invece di vietare l'utente, il sito Web dovrebbe vietare l'accesso IP al sito web.
Se l'attaccante passa da un indirizzo IP a un altro e fa un attacco di forza bruta, allora in quel caso il sito web può vietare l'id dell'utente e avvisare l'utente bannato tramite e-mail o in altro modo o può vietare all'utente anche un breve periodo di tempo farà il necessario.
Altri rispondenti hanno già offerto alcuni mezzi preziosi con cui un sito Web può prevenire l'abuso di misure anti-password per bloccare le persone. Eccone un altro: whitelisting IP.
@Skynet ha già suggerito la lista nera, ma con gli hacker oggigiorno è possibile costruire botnet bene oltre un milione di dispositivi di dimensioni , che potrebbe non essere molto efficace contro un aggressore intraprendente. (Si noti che non è necessario che un utente malintenzionato sia costretto a creare una botnet di questo tipo: molti cyber-criminali affittano l'accesso ai loro bot.)
Quindi, mentre la lista nera può offrire una difesa contro un aggressore meno potente, se un attacco scala un numero elevato di indirizzi IP, un'alternativa sarebbe cercare di limitare l'accesso agli indirizzi IP che sono stati precedentemente utilizzati per accedere correttamente all'account.
Ovviamente, è necessario prestare ancora attenzione: se un utente malintenzionato ha accesso a un dispositivo che utilizza un indirizzo IP autorizzato, dovrebbe essere visualizzato un sito Web per garantire che questo non consenta all'utente malintenzionato di sfuggire al rilevamento forza bruta. Inoltre, poiché un utente potrebbe avere un indirizzo IP dinamico o per qualche altro motivo prova ad accedere da un nuovo IP, ci deve essere un meccanismo alternativo con il quale l'utente può ignorare il blocco dell'accesso, come ad esempio:
Sì ed è già stato fatto prima. Questo può causare un grosso problema con alcuni siti web. OWASP elenca alcuni esempi di come può andare storto nella loro pagina sul blocco degli attacchi di forza bruta ...
Account lockout is sometimes effective, but only in controlled environments or in cases where the risk is so great that even continuous DoS attacks are preferable to account compromise. In most cases, however, account lockout is insufficient for stopping brute-force attacks. Consider, for example, an auction site on which several bidders are fighting over the same item. If the auction Web site enforced account lockouts, one bidder could simply lock the others' accounts in the last minute of the auction, preventing them from submitting any winning bids. An attacker could use the same technique to block critical financial transactions or e-mail communications.
Sì, questa è una minaccia reale e deve essere presa in considerazione quando costruisci le tue difese a forza bruta. Anche questi tipi di attacchi sono stati condotti, quindi non è puramente teorico.
In genere al giorno d'oggi un sistema fornisce a un utente bloccato un modo per reimpostare il suo account, solitamente attraverso un canale separato (posta, SMS, ecc.)
Sì, è possibile. Ma può essere impedito utilizzando CAPTCHA, se il modulo di login ha l'unico modo per ottenere questo sarebbe inserire manualmente le password errate ed è un rischio minore. L'attaccante deve essere davvero pazzo a passare l'intera giornata a bloccare il tuo account
Dovresti anche indicare che l'account è bloccato quando l'utente inserisce correttamente le sue credenziali per impedire l'enumerazione degli account e mai distinguere quando l'utente malintenzionato inserisce la password errata o se l'utente non esiste
Leggi altre domande sui tag account-security account-lockout