Su una rete intranet un accesso viene generalmente disabilitato dopo un numero molto piccolo di accessi non riusciti.
Ma un servizio di posta pubblica come Gmail non può fare lo stesso, altrimenti i burloni bloccheranno continuamente le persone.
A differenza del brute forzare un file di password che hai localmente, il colpire un account specifico su un servizio remoto come Gmail comporta una latenza di rete significativa, limitando così in modo grave la velocità di un approccio a forza bruta.
E il servizio può introdurre ritardi artificiali, ad es. attendi qualche secondo, non importa cosa prima di rifiutare o accettare un accesso.
E può aumentare il ritardo per l'indirizzo IP dal quale si è verificato un tentativo di accesso fallito.
Ma puoi andare così lontano con ritardi prima che essi stessi facilitino gli attacchi DoS - se l'utente valido arriva attraverso un proxy, chiunque altro attraverso lo stesso proxy può aumentare il ritardo di accesso per quell'utente con tentativi di accesso falliti. Quindi il ritardo può essere solo aumentato fino ad ora.
Ma anche un ritardo di 5 secondi, che infastidirebbe solo leggermente un umano, ostacolerebbe la forza bruta da una singola macchina.
Ma che mi dici di una botnet? Il più grande ha diverse centinaia di migliaia di macchine.
Se tutti fanno solo alcuni tentativi, ciò significa che la password della vittima deve essere solo ad es. il più comune 10 mila.
Ho visto le vecchie analisi del 2011 che suggeriscono che il 30% delle password degli utenti è il più comune 10 mila.
Quindi hai 1 possibilità su 3 di crackare l'account indicato.
Ma forse:
- Il tempo della botnet è troppo prezioso per essere usato anche per un breve periodo per rompere un singolo account.
- L'aumento dei sistemi di autenticazione a due fattori e di gestione delle password rende più difficile colpire obiettivi di alto valore.
- Servizi come Gmail possono prestare attenzione attiva agli utenti soggetti a frequenti tentativi di hacking, ad es. celebrità e assicurati che utilizzino l'autenticazione a due fattori.
- Gli utenti di alto valore che sono probabilmente vittime di un attacco così coordinato probabilmente sono già stati hackerati una volta e hanno imparato la lezione - quindi le probabilità di successo di un attacco botnet sono troppo basse per giustificarlo.
- L'applicazione di regole sulla complessità della password ha cambiato le percentuali che ho citato.
Scusa se ritieni che si tratti di una ripetizione di domande esistenti. @woliveirajr suggerisce in questa risposta che dovresti introdurre un CAPTCHA dopo alcuni tentativi falliti.
Se non lo fai su un indirizzo IP, alcuni utenti (celebrità ecc.) devono compilare CAPTCHA tutto il tempo! Se lo fai su un indirizzo IP, otterrai comunque molti tentativi (vedi sopra) che coprono una percentuale significativa delle password più comuni.
Gmail o altri lo fanno, cioè richiedono CAPTCHA dopo diversi tentativi di accesso falliti?
Un numero di risposte su questa domanda popolare menziona il blocco delle persone dopo un numero di tentativi falliti, ma come ho già notato che credo si possa fare davvero solo su una intranet aziendale, non su qualcosa come Gmail, dove sarebbe immediatamente utilizzato per il DoS.