Gli hacker usano ancora tecniche iterative di cracking delle password?

Per rispondere direttamente alla domanda

how are hackers able to figure out your password using the brute-force, iterative method

Generalmente, rompere una password usando "test di massa" è offline. Per fare ciò, un utente malintenzionato recupera una password memorizzata (che è di solito hash) e tenta di rompere la sicurezza dello storage. C'è un numero di metodi che possono essere usati per questo, a seconda di come è protetta la password ( Hash cracking , Tavola dell'arcobaleno )

Per dirla in modo più chiaro, se un utente malintenzionato ha un metodo per testare una password offline, i siti Web di lockouts non sono efficaci.

Un'implicazione di ciò, come sottolineato da Trey, è che se una password viene riutilizzata, un utente malintenzionato deve solo trovare il metodo di recupero più semplice, e quindi l'utente malintenzionato può accedere a qualsiasi posizione in cui è stata utilizzata la password. Se un sito memorizza una password in testo semplice, e viene quindi ripristinata, ovunque la password viene successivamente utilizzata può essere considerata compromessa, indipendentemente dalle misure di sicurezza.

Sì, gli attaccanti e i tester di penetrazione utilizzano ancora strumenti come Hydra per eseguire test di massa sulle password. Detto questo, questa tecnica potrebbe non essere conveniente rispetto a qualcosa come un sito bancario, ma molto spesso gli utenti useranno la stessa coppia di e-mail e password su un altro sito con molta meno sicurezza come un blog personale, un forum di hobbisti o un sito di appuntamenti. Quindi quelli sono i siti in cui si verificheranno altre forzature brute.

Indicherò anche qualcosa che potrebbe non essere ovvio. Questo non rappresenta il modo in cui la maggior parte delle password viene persa per gli aggressori. I siti possono essere attaccati tramite un gran numero di metodi e uno molto comune negli ultimi anni è stato Iniezioni SQL. Quando un attacco di questo tipo è disponibile, può fornire a un utente malintenzionato o penetrometro un accesso al database che a volte contiene tutte le password per un determinato sito web. Una copia del database, quindi, viene tirata dall'attaccante attraverso quest'altra buca. Allo stesso modo non è raro che interi database di questi nomi utente e password vengano inviati dagli autori di attacchi a siti Web come pastebin.com, dove altri utenti malintenzionati e penetratori possono prenderli e utilizzarli.

Questo è qualcosa che penso che la persona media non sia realmente a conoscenza e vorrei che fosse più diffusa la conoscenza di non usare la stessa password su cose come i siti bancari come si farebbe in un sito dove la sicurezza è meno preoccupante .

Allo stesso modo è MOLTO importante proteggere la password per qualsiasi account di posta elettronica utilizzato per servizi bancari o altri siti ad alta sicurezza. Soprattutto se non vengono utilizzati token di autenticazione a più fattori. L'accesso a un account di posta elettronica può essere utilizzato per reimpostare la password su un numero elevato di siti Web e consentire rapidamente a un utente malintenzionato di accedere a un gran numero di risorse digitali e amp; conti. Quindi, dove possibile, abilitare sempre l'autenticazione a più fattori o a due fattori, fa davvero una grande differenza.

Molti siti chiudono un dato indirizzo IP dopo 5 tentativi ...

Se un utente malintenzionato ha una rete di bot, molte centinaia di macchine tentano ognuna di 5 tentativi. Ciò fornisce 500 ipotesi, sufficienti per catturare qualsiasi password veramente comune. Questo non vale la pena per la maggior parte degli account, ma i conti amministrativi e bancari vengono provati.

Un sito Web attentamente configurato inizierà a richiedere i captcha o l'autenticazione a 2 fattori per i tentativi di accesso dopo i primi cinque tentativi falliti anche su indirizzi IP diversi.

Mentre è facile bloccare un account single dopo alcuni tentativi di accesso non corretti, è più difficile proteggersi da un attacco contro ogni account sparsi per molte migliaia di computer in una botnet, magari usando i proxy per mascherare e / o modificare gli indirizzi IP, specialmente quando l'attacco viene intenzionalmente rallentato per evitare di destare sospetti.

Mentre un singolo utente può facilmente forzare un singolo utente malintenzionato a raggiungere la soglia di blocco per il proprio account singolo scegliendo una password non comune, un utente malintenzionato che tenta solo le prime cinque password su ogni account è probabile che abbia accesso a gran parte degli account sul servizio.

Quindi le politiche sulle password come quelle che hai menzionato non proteggono i singoli account. Devono proteggere l'intera collezione di account in modo aggregato, tentando di costringere tutti a evitare le password più comuni. Se nessuno può usare una delle prime cinque password, in teoria gli attaccanti hanno una possibilità molto più piccola di riuscire.

In realtà, gli aggressori possono probabilmente prevedere la manciata di modifiche che una persona utilizzerà per cambiare "password" e "123456" in "P @ ssword1" e "Abc123456!". Quindi un certo numero di account può probabilmente ancora essere compromesso in questo modo.

Come altri hanno sottolineato, il riutilizzo delle password, il phishing, gli attacchi offline su un database delle password rubate o una combinazione di questi tendono ad avere attacchi di maggior successo. Ma è perché di cose come le norme sulle password e i blocchi degli account che il metodo concettualmente più semplice di provare solo le password non è altrettanto efficace.