Mentre mi rendo conto che i server possono facilmente individuare le strategie di forzatura brute tramite un singolo I.P, sembra che i server siano vulnerabili a un attacco distribuito da una botnet, con ogni computer che tenta una piccola parte dell'elenco delle password a bassa frequenza.
C'è una firma facilmente identificabile per questo tipo di attacchi?
Bassa frequenza rispetto a un accesso specifico:
Monitora in modo che dopo x tentativi su un accesso specifico, puoi provarlo solo dopo x secondi / minuti.
Bassa frequenza rispetto a un accesso specifico, utilizzando CAPTCHA:
Dopo le prove x , inizia a chiedere un CAPTCHA, forse rallentalo dopo x .
Basta notare che rallentare qualche tentativo usando ritardi equivale quasi a abilitare un attacco DOS contro quel login. Se qualcuno tenta di accedere al tuo account e fallisce, finirà per aggiungere un ritardo ai tuoi tentativi e tu, l'utente corretto, potresti annoiarti.
Bassa frequenza rispetto a più accessi:
Se il carico generale del tuo server è aumentato, in modo molto rilevabile, aggiungi CAPTCHA. In caso contrario, la tua unica alternativa individuerà il numero di tentativi compiuti sul tuo sito e dovrai utilizzare nuovamente captcha. O per aggiungere un piccolo ritardo per tutti i tuoi accessi, e questo non farà nulla di buono per gli utenti reali ...
Esistono alcune tecniche standard per aiutare con la forzatura anti-bruta - come estendere il ritardo tra il server che rileva un tentativo di accesso fallito e presentare il messaggio di errore all'utente finale, e gradualmente rendere questo ritardo più a lungo se c'è un periodo di alto tasso di fallimento (e reimpostazione del ritardo dopo un periodo di bassa percentuale di fallimento, naturalmente).
Inoltre, una cosa da considerare potrebbero essere i modelli nelle password presentate negli accessi non riusciti. Forza brutale spesso non sceglie password casuali, ma genera automaticamente password da un algoritmo che potresti essere in grado di prevedere o individuare. Ovviamente, sarebbe troppo comodo se si vedesse un pattern in accessi non riusciti con password del pattern 'a', 'aa', 'ab', aab '..' ardvark '...' bestia '.. e così on, o anche seguendo una delle tante 'top 500 password per non usare' liste che sono facilmente disponibili online, ma potrebbe comunque esserci uno schema riconoscibile.
Potresti estenderlo a più nomi utente e solo a guardarne uno.
Potrebbe essere necessario esprimere un giudizio "sfocato".
Leggi altre domande sui tag brute-force