In che modo Gmail è suscettibile agli attacchi di forza bruta?

Per i principianti, quell'articolo utilizza in modo improprio la terminologia.

Qualunque vulnerabilità a cui ci si possa riferire sembra abbastanza evidente che non si tratta di "forza bruta" in quanto ciò contraddirebbe la premessa di quella stessa frase. Poiché suggeriva un'altra risposta è possibile che sia stata utilizzata una qualche forma di ingegneria sociale, ma in questo caso ogni giro di "ipotesi" "a sinistra non sarebbe affatto la forza bruta, ma sarebbe sfruttando sapientemente punti dati noti.

Inoltre, identifica erroneamente l'errore di sicurezza più probabile.

Complessivamente più probabile nel caso descritto nell'articolo è un database compromesso su un altro sito . L'articolo lo consente espressamente quando dice "se non è filtrato da un altro sito", il che implica che sua moglie non utilizza password univoche per sito. Se non usi password uniche ¹ allora tutte le scommesse sono disattivate e non puoi incolpare Google se l'account Gmail è compromesso ² che tutte le tue cose sono sicure come il sito più debole che utilizzi, un approccio con un minimo di denominatore comune che è destinato a farti guai int come per ogni dato insieme di siti è quasi garantito che uno di loro ha maltrattato i dati degli utenti!

_{1. Oltre a utilizzare password univoche, l'abilitazione dell'autenticazione a due fattori si attenuerebbe anche contro questo vettore di attacco.}

_{2. Notare di nuovo il problema terminologico qui. Un account compromesso (come nel mio utilizzo) è diverso da un account compromesso (come nell'utilizzo dell'articolo). Nello scenario più probabile l'account Gmail non è stato violato, nessuna misura di sicurezza su Google non è riuscita, l'hacker è stato semplicemente in grado di accedere con la password che ha violato da qualche altra parte.}

Sopra quel paragrafo si dice:

It’s possible, too, that my wife’s password was simply “guessed,” though in a different way from what laymen might assume. Guessing less often involves social engineering—trying your birthday or your hometown or your relatives’ names—than “brute-force attacks,”

Che è molto probabilmente ciò a cui si stava riferendo.

In altre parole, sebbene la maggior parte degli standard quantitativi sia una password complessa, in realtà è composta da due parole facilmente indovinate e un numero. Un utente malintenzionato potrebbe solo provare alcune dozzine di combinazioni di città natale, DOB, nomi di animali domestici, ecc. Per indovinare la password.

È vero che gli attacchi diversi dalla forza bruta potrebbero essere una forza bruta etichettata male, o che l'autore stia parlando di forzanti brutali contro una password hash ipoteticamente rubata da Google (speravi che avresti speso molto 's scoprire se questo è accaduto e forzare le modifiche della password).

Tuttavia, prendendo il reclamo al valore nominale, è vero che:

For reasons too complex to explain here, even some systems, like Gmail’s, that don’t allow intruders to make millions of random guesses at a password can still be vulnerable to brute-force attacks.

La risposta è un debole si, possono esserlo, ma non è una linea di attacco particolarmente fruttuosa. Si tratta di come "non permettere agli intrusi di fare milioni di ipotesi casuali" sia effettivamente implementato.

Google (presumo) ti bloccherà se fai troppi tentativi di accesso falliti da un singolo indirizzo IP. Ma bloccherà un account se troppi tentativi di accesso falliti sono fatti su di esso? Gli sportelli automatici lo fanno, mangiano la carta se si sbaglia il PIN tre volte. Ma per fare il tentativo devi avere la carta stessa, quindi le uniche persone che possono farlo sono te o qualcuno che ha preso la tua carta [*].

Se Google dovesse bloccare il tuo account dopo tre tentativi di accesso falliti da qualsiasi parte del mondo , allora ci sarebbe un attacco DoS banale (anche se non tipicamente devastante) che qualcuno potrebbe fare contro gli account Google: solo effettuare deliberatamente molti tentativi di accesso non riusciti. Chiunque conosca il nome del tuo account può farlo, non esiste un token fisico come secondo fattore. Migliaia o milioni di persone hanno bisogno di passare attraverso il rigamarole e l'inconveniente di sbloccare il proprio account utilizzando un numero di telefono o un indirizzo email di backup, o forse perdono i loro account interamente a causa di non avere alcun secondo fattore aggiornato registrato. Ciò non è accaduto, quindi non è così semplice per Google bloccare l'account di qualcuno.

Non so cosa faccia Google in realtà sul blocco degli account che sembrano essere sotto attacco, ma è certamente plausibile che un sistema come GMail possa tollerare parecchio di sciocchezze prima di bloccare l'account.

Quindi, procurati una botnet di pochi milioni di indirizzi IP e puoi creare un attacco a forza bruta relativamente lento se lo desideri. Più conti su cui devi lavorare simultaneamente, meno tentativi fai su ogni account e meno probabilità che ogni account venga bloccato. Basta non fare troppi tentativi al giorno da ogni indirizzo IP.

Per quanto sia plausibile che sia realmente accaduto alla moglie dell'autore, ne dubito. Non è un grande uso di una botnet di livello mondiale. Ma per una password abbastanza debole, due parole inglesi comuni seguite da (diciamo) un numero di tre cifre, è certamente possibile che un attacco di forza bruta ampiamente distribuito potrebbe trovarlo, se qualcuno ha scelto di applicare uno. Ma questa password non è nella "top 1000 più comune" che un utente malintenzionato potrebbe eseguire prima contro ogni account, prima ancora di iniziare su "due parole inglesi e tre cifre". È lontano dal frutto che pesa più in basso. Quindi in questo senso sistemi come questo possono ancora essere vulnerabili a una forza bruta viva, ma non è una cosa che accade veramente AFAIK. In ogni caso, penso che valga la pena che l'autore suoni una nota di cautela che basarsi su una password di questo non per essere brute-forzato sarebbe compiacente, ma FUD insieme a "questo margine è troppo piccolo contenere la dimostrazione "non è l'ideale; -)

Inoltre, Google in realtà non ti consente più di accedere da un indirizzo IP arbitrario: né la mia ipotetica botnet né i ragazzi di Lagos descritti nell'articolo dovrebbero essere in grado di accedere anche se hanno la password. Credetemi, sono stato morso da questo in passato cercando di accedere legittimamente alle varie API di Google usando il mio account da server virtuali sparsi per il posto, non importa cosa succederebbe se provassi ad usare gli account di altre persone. Quindi, anche a causa del rischio di indovinare la password, Google fa del suo meglio per avere un ulteriore livello di sicurezza.

[*] O qualcuno che ha clonato la tua carta, se vivi in uno di quei posti di tipo del terzo mondo che non hanno ancora Chip e Pin. Ma se hai clonato la carta di credito di qualcuno in quei luoghi, ci sono molte più cose divertenti che puoi fare che bloccarlo maliziosamente.

Con o senza bruteforcing, quando accedi all'account in 5x tentative con password errata, l'account verrà bloccato da WAF (Web Application Firewall) Google Security.

Quindi, se cambi il tuo IP o no, solo l'account del proprietario può riattivarlo.