Password complessa contro restrizione sul numero di tentativi

Le informazioni sulla carta di credito non sono destinate a essere pubbliche. Se qualcuno fortifica brutalmente una carta di credito, c'è una possibilità molto buona , che sia stata rubata o che i suoi dettagli fossero in qualche modo compromessi. Questo è il motivo per cui bloccare una carta di credito ha senso.

L'ID Gmail d'altra parte è destinato a un uso pubblico. Può essere visualizzato in qualche profilo online o sito web, può essere stampato su un biglietto da visita, ecc. Fondamentalmente si intende fornire alle persone il proprio ID, in modo che possano usarlo per contattarvi. Questo è il motivo per cui bloccarti dal tuo account GMail ogni volta che qualcuno decide di accedere utilizzando il tuo ID pubblico (lo sai, solo per il gusto di farlo) è una pessima idea. L'intero servizio potrebbe essere chiuso da qualcuno con un sacco di tempo libero, determinazione e un elenco abbastanza lungo di indirizzi e-mail. :)

Why do internet services not go the same way?

Fondamentalmente, perché gli utenti non lo vogliono.

L'implementazione di misure di sicurezza più forti significherebbe spendere soldi per farlo e, per la maggior parte dei servizi Internet, misure più forti avrebbero anche un impatto negativo sulla base di utenti e sull'uso del servizio. Soprattutto se sei un servizio Internet basato sulle entrate pubblicitarie (come la maggior parte sono), l'ultima cosa che vuoi fare è impedire alle persone di utilizzare il tuo servizio per un periodo di tempo, perché si tratta di entrate perse.

Il bilanciamento della sicurezza e della praticità è difficile nel migliore dei casi e, quando si tratta di servizi basati su Internet, è eccezionalmente difficile, perché gli utenti tipici e la stragrande maggioranza degli utenti non sono semplicemente disposti a sacrificare qualsiasi comodità a tutto, non importa quanta sicurezza ottengano in cambio. Come si nota, i tipici schemi di complessità delle password consentono password come Password1 . Gli utenti tipici scelgono una sola password semplice e la usano per tutto. (Come ogni dump di una password grande, mai, verifica.) A loro non piace sentirsi dire che non possono usare la loro password perché è ridicolmente debole.

Vogliono solo utilizzare il servizio e non sono disposti a subire molti disagi per farlo. Con pochissime eccezioni, se il tuo servizio non le lascia, ci sono molti servizi concorrenti quasi identici che lo faranno, ed è lì che andranno invece. E se non sono disposti a "sopportare" l'utilizzo di qualsiasi cosa che assomigli a una password decente, sicuramente non tollereranno di essere bloccati dal loro servizio o di avere una password / frase realmente forzata su di loro.

A questo punto, ecco una stima e un'analisi attendibili dell'utilizzo dell'autenticazione a due fattori di Gmail opzione , che collega un documento di ricerca di EuroSec 2015 (pdf) che raggiunge molto stime simili. Un modo gratuito, facoltativo, molto sicuro (e facile, conveniente) per proteggere il tuo account Gmail da dirottamenti ... e circa il 6,5% delle persone può essere disturbato a usarlo.

Quindi, se Google riesce a ottenere solo il 6,5% circa delle persone che utilizzano un livello di sicurezza gratuito e conveniente per il proprio servizio online, nessuno ha la possibilità di imporre misure di sicurezza più rigorose ai propri utenti.

La semplice risposta è che entrambe dovrebbero essere le migliori pratiche. Le password complesse riducono le modifiche che la password può essere indovinata e il tentativo di restrizione riduce (nota: ma non elimina) la possibilità che un utente malintenzionato sia in grado di forzare le credenziali.

La contro-argomentazione qui è che entrambe le misure hanno un impatto sulla praticità e sull'usabilità. Dato il numero di password che abbiamo per i servizi in questi giorni, limitare il numero di tentativi aumenta notevolmente la possibilità di falsi positivi (la probabilità che un utente venga bloccato quando è chi dice di essere, ma ha semplicemente dimenticato la password).

Aumentare la complessità delle password rende più difficile ricordare una password e aumenta la superficie di attacco da altre rotte (password scritte / salvate nel browser, ecc.).

Per le carte bancarie, hanno scelto di andare con i passcode relativamente semplici, facendo affidamento su una restrizione del tentativo abbastanza severa (tre tentativi e tu sei bloccato). In combinazione con il fatto che la maggior parte dei terminali di carte sono presidiati, o almeno monitorati, la sicurezza aggiuntiva di un passcode complesso non varrebbe il tempo maggiore per entrare, o la possibilità di dimenticare. La velocità è il re, in questo scenario.

Al contrario, per un sito web, gli utenti sono anonimi, quindi non c'è quel controllo. Le password complesse aiutano a contrastare tale scenario, ma la restrizione dei tentativi implementata in modo errato potrebbe causare il blocco degli utenti autentici a causa di dimenticanza o cattiveria.

Tieni presente che questo non è, come suggerito dal tuo titolo, uno o uno scenario. Non c'è nulla che impedisca l'uso dei entrambi i metodi , a parte la convenienza o la pigrizia da parte del designer.

The problem I imagine lies in the fact that somebody else may be able to block your account. But probably the IP-address check will do.

Sì, un altro utente potrebbe causare un Denial of Service su di te ottenendo la tua password errata di proposito. Non sono sicuro di come si possa calcolare l'indirizzo IP qui - se hanno indovinato da un altro indirizzo IP quello che di solito usi, vuol dire che ottengono risultati illimitati? In caso contrario, in che modo distinguerebbe tra un utente malintenzionato e l'utente reale che effettua l'accesso da un IP diverso (ad esempio, il router è stato riavviato e il proprio ISP ha assegnato loro un nuovo IP)?

La differenza tra carte bancarie e password è che le carte bancarie sono due fattori. Hai bisogno di qualcosa che hai - la carta, e qualcosa che conosci - il PIN. Probabilmente potresti implementare il tuo schema se viene usata l'autenticazione a due fattori, perché allora per ogni password indovina dovrebbe fornire il secondo fattore (es. Yubikey, codice SMS o codice Google Authenticator) e il sistema lo conta solo rispetto al totale se questo è fornito correttamente.

Inoltre, un blocco per un giorno o una settimana potrebbe essere abbastanza scomodo se la password fosse autenticata in modo errato.

L'altra cosa che gli indicatori di sicurezza della password aiutano a proteggere è quando gli hash delle password vengono recuperati da un sistema da un utente malintenzionato e l'utente malintenzionato tenta di suddividerli offline. Qui, nessuna limitazione della velocità è possibile a parte la allungamento della chiave iterando l'hash della password in modo comprovato per rallentare qualsiasi attacco.

Ciò è di particolare importanza perché, nonostante gli avvertimenti in contrario, gli utenti riutilizzeranno le password su sistemi diversi, quindi quello che scelgono per Gmail potrebbe corrispondere a quello che scelgono per un sito meno sicuro che ottiene la lista delle password spuntata via SQL Injection. Garantire la sicurezza della password in primo luogo aiuta a proteggere i suoi utenti altrove.

Nikita e Hopeless ne hanno coperto la maggior parte. Vorrei solo aggiungere che alcuni siti web "kinda" usano il metodo di restrizione. Se ricordate di aver risolto il problema, è stato "facile" indovinare le password e che non vi era alcun limite al numero di tentativi effettuati con una password, e quindi la forza bruta ha funzionato. Apple ha risolto questo errore limitando la quantità di volte in cui una password errata può essere inserita da un IP. Non sono sicuro di quante VPN stiano tracciando per raggiungere l'IP originale ma impostano un cooldown se hai inserito la password errata troppe volte. Anche molti altri siti Web fanno questo, cioè se provate una password errata per 10 volte, ottenete un cooldown di 30 minuti dal tentativo di accedere nuovamente, solo sull'indirizzo IP si sono verificati quei tentativi. Se questo continua a succedere, il tempo di recupero si allunga.

Come Nikita ha detto che il problema con l'annullamento / blocco utilizzato nelle Carte di credito è che può causare un sacco di devastazione, dal momento che puoi "facilmente" ottenere l'indirizzo di posta anche di Bill Gates.

Costi del servizio clienti

Queste risposte sono ottime e vorrei aggiungere che potrebbero non implementarle per servizi gratuiti a causa del costo del servizio clienti per gestire account bloccati. È molto più semplice per queste aziende implementare ritardi o captcha per rallentare gli attacchi automatizzati in modo che non debbano occuparsi di clienti arrabbiati che si sono bloccati dopo 10 tentativi e probabilmente non saranno abbastanza veloci da innescare qualsiasi ritardo inteso per attacchi automatici.

Why do internet services not go the same way? For example, after 10 incorrect passwords your account would be blocked for a day, after ten more

Hai la tua risposta proprio lì. I servizi Internet non bloccano gli account dopo alcune password errate perché ciò bloccherebbe l'utente legittimo. L'utente malintenzionato tenta 10 password comuni e viene bloccato. Ora l'utente legittimo vuole connettersi, ottiene la sua password al primo tentativo ... ma non può accedere.

But probably the IP-address check will do.

No, i controlli degli indirizzi IP non sono particolarmente utili, perché è molto facile per gli hacker avere il controllo su molti indirizzi IP. Affitta il tempo su istanze di Amazon, usa Tor e altri servizi proxy, usa botnet di macchine infette ... Se limiti a 10 tentativi a livello globale, l'utente legittimo verrà bloccato. Se si limita a 10 tentativi per indirizzo IP, l'utente malintenzionato può eseguire migliaia di tentativi semplicemente navigando da un indirizzo IP a un indirizzo IP. Anche in questo caso l'utente legittimo può essere bloccato: in paesi che arrivano in ritardo su Internet o con determinati fornitori di servizi Internet, tutto il traffico è NATted attraverso alcune macchine e migliaia di utenti o più possono finire dietro lo stesso indirizzo IP.

Il sistema di blocco sulle carte di credito funziona perché la carta è normalmente in possesso dell'utente legittimo. Se l'attaccante è nella posizione di tentare di indovinare il PIN, questo di solito significa che hanno rubato la carta e l'utente legittimo dovrà visitare la propria banca per ottenere comunque una carta sostitutiva. Ciò non funziona con i servizi Internet in cui è difficile per l'utente legittimo riacquisire l'accesso al proprio account.

L'autenticazione a due fattori può essere di grande aiuto. Per semplificare l'onere sull'autenticazione, i sistemi che offrono l'autenticazione a due fattori spesso accettano un singolo fattore se vengono soddisfatte determinate euristiche. Accettare solo la password se il tentativo proviene da un indirizzo IP noto, ma richiede il secondo fattore se ci sono stati molti tentativi di password non validi di recente, è un buon progetto.