In che modo Facebook può interrompere un attacco bruteforce su un account?

Naviga le tue risposte
6

Recentemente ho fatto qualche ricerca sull'hacking e ho trovato alcuni tutorial molto interessanti sul cracking della forza bruta. Ho alcune domande da porre e userò Facebook come esempio.

Diciamo che un uomo decide di decifrare la password di un singolo account. Scarica un programma di forza Brute e lo imposta per provare ogni singola combinazione di password con diversi IP. Lo stesso IP verrebbe utilizzato fino a quando non verrà visualizzato il captcha, quindi verrà sostituito da uno nuovo, quindi Facebook non sarebbe in grado di bloccare l'attacco bloccando l'IP.

Forse sono solo stupido (non ho esperienza in questa roba) ma l'unico modo in cui vedo che Facebook può usare per fermare questo attacco è bloccando l'account stesso (impedendo a chiunque di loggarsi), ma è male per gli affari perché impedirebbe al proprietario stesso di accedere. Facebook lo fa davvero per questi attacchi? Suppongo che un grande sito web come Facebook riceverebbe questo tipo di attacchi spesso da diversi cracker, e alcuni di essi potrebbero effettivamente attaccare più account contemporaneamente.

Che cosa fa Facebook per impedirlo? Perché non vedo nulla che possa fare oltre a bloccare l'account, il che non è pratico. Potrebbero volerci mesi o anni, ma con questo metodo l'hacker sarà finalmente in grado di collegarsi, vero?

    
posta George 18.03.2015 - 14:33
fonte

3 risposte

5

Nonostante Facebook blocchi i conti dopo molti tentativi, come le altre risposte hanno detto, è necessario ricordare che "sostituire il tuo IP con uno nuovo" non è così banale come lo fai sembrare.

La maggior parte dei provider di servizi Internet ti consente di rilasciare il tuo lease IP e ottenere un nuovo indirizzo IP, ma di solito l'hacker riceve uno da un piccolo pool di poche centinaia a qualche migliaio di indirizzi IP.

Certo, ci sono server proxy e la rete TOR, ma questi forniranno solo l'hacker con poche centinaia di IP aggiuntivi.

Quando l'attaccante ha accesso a una botnet, potrebbe utilizzare ogni bot della botnet per richiedere il maggior numero possibile di IP dai rispettivi ISP (buona fortuna farlo senza che l'utente se ne accorga). Ma le botnet di grandi dimensioni sono costose.

Anche lo spoofing dell'indirizzo IP non funzionerà, perché lo spoofing IP non è facile da fare quando non vuoi solo inviare pacchetti ma anche ricevere le risposte. Quando si desidera forzare un accesso HTTP forzato, è necessario eseguire prima un handshake TCP, che richiede di essere in grado di ricevere risposte. Inoltre, vorresti sicuramente analizzare la risposta per sapere se avevi successo.

E anche quando potresti teoricamente usare tutti gli ~ 4 miliardi di indirizzi IPv4 che internet ha da offrire, moltiplicando i tuoi tentativi con 4 miliardi solo ti dà abbastanza tentativi per le password bruteforce con 4-6 caratteri addizionali (a seconda di quanti caratteri diversi il la password contiene).

E per ultimo, ma non meno importante, il problema principale con la forzatura bruta tramite rete è la larghezza di banda disponibile che limita notevolmente i tentativi al secondo rispetto a ciò che si può fare quando si eseguono gli hash brute-force localmente.

Quando si utilizza una password di 8 caratteri con maiuscole, numeri e caratteri speciali e nessuna relazione dizionario (raccomandazione comune), la forzatura bruta tramite rete è completamente irrealizzabile, anche quando il sistema non utilizza alcuna protezione contro le inondazioni.

    
risposta data 18.03.2015 - 23:03
fonte
2

So che Facebook ha alcune impostazioni di sicurezza diverse e che non tutti le utilizzano al massimo, quindi andrò con le impostazioni che conosco per esperienza personale. Il tuo chilometraggio può variare.

Facebook ha un metodo integrato per determinare i dispositivi scelti dagli utenti che possono accedere all'account. Se qualcuno da un nuovo dispositivo tenta di accedere al mio account, riceverò un messaggio (email o testo) che un nuovo dispositivo ha tentato (o correttamente) di accedere al mio account. Questo di per sé in realtà non "ferma" gli attacchi di forza bruta, ma combinato con l'autenticazione a due passi che può.

    
risposta data 18.03.2015 - 16:02
fonte
1

Facebook blocca temporaneamente gli account. Dopo troppi tentativi di autenticazione, temporaneamente blocca l'account di Facebook per alcune ore e richiede una domanda di sicurezza / codice di verifica per sbloccare l'account per ulteriori tentativi di verifica. Dopo un periodo di 24 ore, è possibile accedere di nuovo. Per il consumatore, 24 ore senza Facebook non è la fine del mondo. Per il forger bruto, un ritardo di 24 ore ogni X tentativi è un grande dolore. È un buon compromesso tra usabilità e protezione.

Naturalmente, anche in questo scenario un utente malintenzionato potrebbe entrare in un account con una quantità di tempo sufficiente. Ma ora la quantità di tempo sufficiente viene misurata in mesi e anni.

    
risposta data 18.03.2015 - 15:08
fonte

Leggi altre domande sui tag

L'autenticazione reciproca ha qualche impatto sulle possibilità MiTM? L'avvelenamento da ARP è necessario?