È vero che gli attacchi diversi dalla forza bruta potrebbero essere una forza bruta etichettata male, o che l'autore stia parlando di forzanti brutali contro una password hash ipoteticamente rubata da Google (speravi che avresti speso molto 's scoprire se questo è accaduto e forzare le modifiche della password).
Tuttavia, prendendo il reclamo al valore nominale, è vero che:
For reasons too complex to explain here, even some systems, like
Gmail’s, that don’t allow intruders to make millions of random guesses
at a password can still be vulnerable to brute-force attacks.
La risposta è un debole si, possono esserlo, ma non è una linea di attacco particolarmente fruttuosa. Si tratta di come "non permettere agli intrusi di fare milioni di ipotesi casuali" sia effettivamente implementato.
Google (presumo) ti bloccherà se fai troppi tentativi di accesso falliti da un singolo indirizzo IP. Ma bloccherà un account se troppi tentativi di accesso falliti sono fatti su di esso? Gli sportelli automatici lo fanno, mangiano la carta se si sbaglia il PIN tre volte. Ma per fare il tentativo devi avere la carta stessa, quindi le uniche persone che possono farlo sono te o qualcuno che ha preso la tua carta [*].
Se Google dovesse bloccare il tuo account dopo tre tentativi di accesso falliti da qualsiasi parte del mondo , allora ci sarebbe un attacco DoS banale (anche se non tipicamente devastante) che qualcuno potrebbe fare contro gli account Google: solo effettuare deliberatamente molti tentativi di accesso non riusciti. Chiunque conosca il nome del tuo account può farlo, non esiste un token fisico come secondo fattore. Migliaia o milioni di persone hanno bisogno di passare attraverso il rigamarole e l'inconveniente di sbloccare il proprio account utilizzando un numero di telefono o un indirizzo email di backup, o forse perdono i loro account interamente a causa di non avere alcun secondo fattore aggiornato registrato. Ciò non è accaduto, quindi non è così semplice per Google bloccare l'account di qualcuno.
Non so cosa faccia Google in realtà sul blocco degli account che sembrano essere sotto attacco, ma è certamente plausibile che un sistema come GMail possa tollerare parecchio di sciocchezze prima di bloccare l'account.
Quindi, procurati una botnet di pochi milioni di indirizzi IP e puoi creare un attacco a forza bruta relativamente lento se lo desideri. Più conti su cui devi lavorare simultaneamente, meno tentativi fai su ogni account e meno probabilità che ogni account venga bloccato. Basta non fare troppi tentativi al giorno da ogni indirizzo IP.
Per quanto sia plausibile che sia realmente accaduto alla moglie dell'autore, ne dubito. Non è un grande uso di una botnet di livello mondiale. Ma per una password abbastanza debole, due parole inglesi comuni seguite da (diciamo) un numero di tre cifre, è certamente possibile che un attacco di forza bruta ampiamente distribuito potrebbe trovarlo, se qualcuno ha scelto di applicare uno. Ma questa password non è nella "top 1000 più comune" che un utente malintenzionato potrebbe eseguire prima contro ogni account, prima ancora di iniziare su "due parole inglesi e tre cifre". È lontano dal frutto che pesa più in basso. Quindi in questo senso sistemi come questo possono ancora essere vulnerabili a una forza bruta viva, ma non è una cosa che accade veramente AFAIK. In ogni caso, penso che valga la pena che l'autore suoni una nota di cautela che basarsi su una password di questo non per essere brute-forzato sarebbe compiacente, ma FUD insieme a "questo margine è troppo piccolo contenere la dimostrazione "non è l'ideale; -)
Inoltre, Google in realtà non ti consente più di accedere da un indirizzo IP arbitrario: né la mia ipotetica botnet né i ragazzi di Lagos descritti nell'articolo dovrebbero essere in grado di accedere anche se hanno la password. Credetemi, sono stato morso da questo in passato cercando di accedere legittimamente alle varie API di Google usando il mio account da server virtuali sparsi per il posto, non importa cosa succederebbe se provassi ad usare gli account di altre persone. Quindi, anche a causa del rischio di indovinare la password, Google fa del suo meglio per avere un ulteriore livello di sicurezza.
[*] O qualcuno che ha clonato la tua carta, se vivi in uno di quei posti di tipo del terzo mondo che non hanno ancora Chip e Pin. Ma se hai clonato la carta di credito di qualcuno in quei luoghi, ci sono molte più cose divertenti che puoi fare che bloccarlo maliziosamente.