Vediamo questo tipo di tentativi con una certa frequenza. Normalmente una perdita è accaduta da qualche altra parte terza, e un utente malintenzionato ha una grande lista di combinazioni di account e password conosciute che possono provare contro altri sistemi. Poi colpiscono il nostro sistema (in questo caso, un modulo di accesso al sito Web) verificando tutte le credenziali che hanno per una corrispondenza.
Dato che le persone non sono affidabili nell'usare credenziali univoche e che non tutti sulla nostra piattaforma hanno optato per l'utilizzo di 2FA (e non vogliamo forzarlo), ci sono ulteriori passi che possiamo fare per aiutare a proteggere gli utenti o gli sforzi che possiamo intraprendere per combattere vengono usati come terreno di prova per le liste trapelate?
(È anche molto fastidioso dover scalare un gran numero di istanze perché alcuni hacker lanciano un gran numero di tentativi simultanei al secondo sulla nostra infrastruttura!)
Precauzioni ovvie che già implementiamo:
- Tentativi di limitazione della velocità per account, combinati con un blocco temporaneo, ma ciò non è di aiuto rispetto a un elenco di voci singole.
- Tentativi di limitazione della velocità per indirizzo IP, ma ciò non si ferma quando il test viene distribuito su un numero elevato di nodi. Di solito vediamo le enumerazioni che accadono dagli indirizzi 5k +, e questo significa che è possibile testare almeno 25k account prima di iniziare a filtrare tali indirizzi.
Stiamo valutando l'idea di utilizzare le conferme email come 2FA (per gli utenti che non hanno optato per l'utilizzo di un dispositivo 2FA con noi), quando vediamo un accesso da un dispositivo che non conosciamo, ma prima avremo bisogno per misurare l'impatto del cliente.
Può (e dovrebbe) intraprendere ulteriori sforzi per proteggere gli utenti?