Sta utilizzando il client basato su browser di Gmail, più sicuro rispetto all'utilizzo di IMAP?

5

Non uso mai la stessa password due volte e le mie password sono sempre costituite da una lunga stringa casuale di lettere, numeri e simboli. (con un gestore di password offline per memorizzare ogni stringa di password)

Tuttavia, mi sono chiesto se (anche con le mie password complesse) lasciando abilitato IMAP, il mio account Gmail era a rischio di brute force cracking.

Pertanto, ero curioso di sapere se sarebbe stato più sicuro lasciare l'IMAP disattivato e accedere a Gmail solo tramite un browser web. (usando HTTPS) O, se tale precauzione non fosse necessaria.

===

Nota: il motivo per cui pensavo che il sito Web di Gmail sarebbe stato più resistente alla brute force cracking delle password, è che il sito web di Gmail richiede l'inserimento di un codice CAPTCHA, dopo un certo numero di tentativi di accesso falliti --- mentre IMAP non sembra offrire quella protezione.

    
posta Ademos 06.12.2012 - 03:53
fonte

1 risposta

6

In base alle abitudini della tua password, non penso che farà una differenza sostanziale.

Se usi una password lunga, strong e casuale, non sarà possibile per nessuno crackare la tua password tramite indovinare online (ad esempio, attacchi automatici, in cui l'attaccante si collega ripetutamente a Google e prova a indovinare la tua password a un tempo). Questo è vero anche se Google non utilizza un CAPTCHA per IMAP e anche se Google non esegue alcuna limitazione della velocità dopo diverse ipotesi errate di password (quali potrebbero). Rompere la tua password in questo modo richiederebbe troppo tempo. Si consideri, ad esempio, una password casuale composta da 8 caratteri composta da caratteri alfanumerici. Ci sono 62 ^ 8 possibili password. Questo è circa 10 ^ 14. Quindi, per trovare la tua password, un utente malintenzionato dovrebbe provare ad accedere a Gmail 10 ^ 14 volte. A una velocità di 1000 tentativi di accesso / secondo, ci vorranno 10 ^ 11 secondi = 3.000 anni. Pertanto, non vale la pena preoccuparsene.

Il link più debole della tua sicurezza è probabilmente un'altra cosa, ad esempio la sicurezza del dispositivo client che utilizzi.

In altre parole, la difficoltà di indovinare la tua password non è l'anello più debole della catena, quindi (secondo la legge di Amdahl) non vale la pena di ottimizzarlo: rendere difficile indovinare la password non cambierà molto il costo di l'attacco più economico, e non cambierà molto il tuo rischio complessivo.

P.S. I do consiglia di assicurarsi di utilizzare sempre SSL o TLS, per impedire agli utenti di intercettare la password. Ad esempio, utilizza IMAPS (IMAP su SSL / TLS) per connettersi a Gmail. Se il tuo server supporta entrambi, IMAPS è probabilmente superiore a STARTTLS, perché STARTTLS ricadrà in comunicazioni in chiaro non crittografate se non è in grado di negoziare TLS, mentre IMAPS no.

    
risposta data 06.12.2012 - 04:19
fonte

Leggi altre domande sui tag