In che misura dovremmo difenderci contro le credenziali trapelate che vengono testate contro il nostro sistema?

3

Vediamo questo tipo di tentativi con una certa frequenza. Normalmente una perdita è accaduta da qualche altra parte terza, e un utente malintenzionato ha una grande lista di combinazioni di account e password conosciute che possono provare contro altri sistemi. Poi colpiscono il nostro sistema (in questo caso, un modulo di accesso al sito Web) verificando tutte le credenziali che hanno per una corrispondenza.

Dato che le persone non sono affidabili nell'usare credenziali univoche e che non tutti sulla nostra piattaforma hanno optato per l'utilizzo di 2FA (e non vogliamo forzarlo), ci sono ulteriori passi che possiamo fare per aiutare a proteggere gli utenti o gli sforzi che possiamo intraprendere per combattere vengono usati come terreno di prova per le liste trapelate?

(È anche molto fastidioso dover scalare un gran numero di istanze perché alcuni hacker lanciano un gran numero di tentativi simultanei al secondo sulla nostra infrastruttura!)

Precauzioni ovvie che già implementiamo:

  • Tentativi di limitazione della velocità per account, combinati con un blocco temporaneo, ma ciò non è di aiuto rispetto a un elenco di voci singole.
  • Tentativi di limitazione della velocità per indirizzo IP, ma ciò non si ferma quando il test viene distribuito su un numero elevato di nodi. Di solito vediamo le enumerazioni che accadono dagli indirizzi 5k +, e questo significa che è possibile testare almeno 25k account prima di iniziare a filtrare tali indirizzi.

Stiamo valutando l'idea di utilizzare le conferme email come 2FA (per gli utenti che non hanno optato per l'utilizzo di un dispositivo 2FA con noi), quando vediamo un accesso da un dispositivo che non conosciamo, ma prima avremo bisogno per misurare l'impatto del cliente.

Può (e dovrebbe) intraprendere ulteriori sforzi per proteggere gli utenti?

    
posta AndySavage 12.09.2017 - 19:53
fonte

1 risposta

3

Considerare seriamente la conversione in e-mail 2FA per la registrazione del computer per la prima volta.

"Caro Andy Savage, abbiamo notato che è la prima volta che utilizzi questo browser per accedere al nostro servizio. Per proteggere il tuo account, abbiamo inviato un'email al tuo indirizzo email registrato ****e@g****.com. Fai clic sul link nell'email per confermare che sei davvero tu. "

La maggior parte dei tuoi clienti ha già ricevuto una dozzina di lettere del genere e non si accorgerà del "disagio" che stai immaginando. Se si prendono la briga di pensarlo, potrebbero credere che stai facendo alcune cose di sicurezza magiche che non capiscono, o potrebbero pensare che stai solo soffiando fumo falso di sicurezza contro di loro. E sì, alcuni saranno confusi e / o spaventati perché non è quello che si aspettano. Puoi ridurlo al minimo raccogliendo ora le informazioni di accesso esistenti e pre-impostando i cookie su tutti i browser esistenti in modo che non visualizzino mai il prompt.

Qualunque sia la ricaduta che ottieni da questo, impallidisci in confronto alla colpa che riceverai per tutti gli Account Take-Overs che accadono. Una cosa è confonderli, ma avranno una reazione completamente diversa se pensano che tu sia stato violato o hai permesso loro di essere hackerati (suggerimento: la maggior parte dei clienti non può o non vuole fare la distinzione.)

    
risposta data 12.09.2017 - 20:35
fonte