Gli attacchi brute-force contro account online (gmail, facebook, instagram) sono qualcosa che accade davvero? Non intendo qualcosa come cracking hash delle password o DDoS, ma veri attacchi a forza bruta (ad es., Indovinare le password) usando una botnet o dei proxy.
Penso che la maggior parte delle grandi applicazioni web siano protette da questo usando cose come i limiti di frequenza, quindi non mi sembra realistico, ma vorrei sapere se ci sono pubblicazioni / statistiche conosciute.
Preferisco chiamarli "attacchi per indovinare la password online" poiché la "forza bruta" ha un significato specifico che potrebbe non essere sempre applicabile a questi attacchi. Ma sì, succede ancora e qui ci sono alcune statistiche di esempio per te:
Microsoft :" rileviamo ogni giorno oltre 10 milioni di attacchi di credenziali attraverso i nostri sistemi di identità. "
Akamai : hanno osservato" 999.980 IP sono stati coinvolti negli attacchi contro la pagina di accesso del cliente [di un'istituzione finanziaria] ". Sono stati controllati 427 milioni di account in un periodo di una settimana. Inoltre ha visto 817.390 IP fare 388 milioni di tentativi di accesso utilizzando 65 milioni di indirizzi e-mail contro un cliente dell'industria dell'intrattenimento. Confrontando gli IP di origine di entrambi gli attacchi, hanno trovato una corrispondenza del 70%, il che implica che la stessa organizzazione era responsabile di entrambi gli attacchi o che utilizzavano la stessa botnet.
Google : "Abbiamo visto un singolo utente malintenzionato che utilizza password rubate per tentare di irrompere in un milione di account Google diversi ogni giorno, per settimane alla volta. Una diversa gang ha tentato di effettuare l'accesso ad una velocità di oltre 100 account al secondo. "Questo è stato segnalato nel 2013, ma sono sicuro che continueranno ad affrontare attacchi simili.
Taobao : Taobao è stato attaccato tramite un attacco di indovinamento online per alcuni giorni nell'ottobre 2015. Gli aggressori hanno utilizzato le credenziali 99M raccolte da altri siti. 20,5 milioni di credenziali corrispondevano ai conti Taobao, che rappresentavano circa 1 su 20 dei loro acquirenti attivi annuali totali. Non è stato rilevato fino a novembre, tuttavia Alibaba afferma che i sistemi di sicurezza hanno scoperto e bloccato la maggior parte dei tentativi di accesso. Ancora portato a circa $ 1 milione di transazioni fraudolente sul loro sito.
In questi casi questi siti possono avere limiti di velocità o altri controlli di autenticazione adattivi, ma non sono efficaci al 100% nel prevenire tutti i tentativi di acquisizione dell'account.
Aneddoticamente, sì. I siti WordPress sono soggetti a continui tentativi di indovinare la password per tutto il tempo. WordPress consente l'enumerazione del nome utente per impostazione predefinita e sembra che ci siano pochi utenti che utilizzano nomi utente reali per tentare di indovinare solo la password, ma la maggior parte degli attacchi indovina sia i nomi utente sia le password.
Ho eseguito un contenitore di miele WordPress per un paio d'anni, e ho visto molti attacchi di indovinare la password. La maggior parte proveniva da un singolo indirizzo IP, ma alcuni erano da 50-60 indirizzi IP. Ho ottenuto fino a 280 mila tentativi in un giorno.
Non conosco pubblicazioni o tentativi di statistiche complete, quindi tutto quello che ho sono aneddoti.
I captcha fanno irruzione in casa per salvare la giornata. In realtà non solo i captcha. Una volta stavo cercando di creare un semplice PDA Gmail (Python Dictionary Attacker). Semplicemente legge ogni riga da un file di dizionario e prova tutte le parole per l'e-mail inserita.
Ma non potevo farlo perché Gmail ha questa nuova funzione, un'impostazione utente, che non consente la ricezione o addirittura l'autenticazione da un "servizio di posta elettronica non moderno". Ed è attivato per impostazione predefinita. Vedi questo per altro: link
Ma ciò non significa che non sia possibile. È. Certo che potrebbero non essere "la cosa" ma sicuramente sono "una cosa". Ci sono molti giovani aspiranti entusiasti dell'IT che devono ancora rivelare i loro talenti. Uno di questi potrebbe essere quello di trovare un modo intelligente e più accurato per questi captcha. Uno di questi potrebbe anche essere quello da hackerare l'inaccessibile. E la maggior parte di loro ha l'obiettivo di un cappello bianco, o almeno grigio, e vogliono solo che tu ti senta molto più sicuro, quindi rallegrati.
Leggi altre domande sui tag passwords web-application brute-force botnet