Demo di forza bruta etica su un accesso Web quando si conoscono i requisiti di complessità della password

4

Al momento stiamo avendo account compromessi ad un tasso sostanzialmente alto. Alcuni membri dell'organizzazione ritengono che i nostri requisiti di complessità delle password siano sufficienti a contrastare gli attacchi di forza bruta.

Volevo testare e dimostrare come determinati requisiti di complessità delle password possano effettivamente ridurre lo spazio di ricerca delle password.

Qualcuno l'ha già fatto prima? Quali strumenti dovrei esaminare? In particolare, preferirei testarlo sulla nostra pagina Web OWA di Exchange 2010 poiché è accessibile pubblicamente e non ha un tasso limitato al momento.

    
posta Belmin Fernandez 27.05.2014 - 17:32
fonte

4 risposte

3

Dipende dai requisiti di complessità che stai implementando e dalla linea di base da cui vieni. Se le tue password esistenti sono baseball e passw0rd e 123456 , allora qualsiasi è un miglioramento.

Ma il facile modo per testare la complessità è controllare per vedere quanti caratteri vengono usati da ciascuna di una data classe (ad esempio lettere maiuscole, minuscole, numeri, simboli). È facile da programmare ma è anche una stima molto scarsa della qualità della password.

La libreria javascript zxcvbn è stata progettata da Dropbox per fornire una stima più realistica della qualità della password basata su fattori che sono effettivamente importanti quando si verificano crack Le password. Dai un'occhiata al loro articolo qui sul loro blog per come e il modo.

L'essenza di base è questa:

  • Le password comuni sono davvero pessime e falliscono indipendentemente dalla composizione
  • Le password lunghe sono migliori delle password brevi
  • Un set di caratteri più ampio aumenta il vantaggio incrementale di ogni carattere aggiuntivo in lunghezza
  • Le parole del dizionario note sono valutate come componenti di un dizionario, non come la somma dei loro caratteri
risposta data 27.05.2014 - 18:30
fonte
2

Mentre è vero che i requisiti di complessità della password riducono lo spazio di ricerca possibile Non sono sicuro che sia esattamente quello che stai cercando.

Forse ti stai riferendo alle abitudini di alcune persone di andare con scelte più prevedibili (come "Password1") quando è necessario avere un mix di lettere minuscole, maiuscole, numeri o simboli. Se è vero che l'implementazione della complessità delle password non impedisce l'uso di alcune password deboli, elimina il peggio del peggiore (come "password" e "123456"). Ma hai ragione che accendere la complessità non è una soluzione alle povere password da sola.

Se si dispone di prove del fatto che qualcuno sta forzando le password su OWA, i registri dei tentativi e dei successi dovrebbero essere sufficienti a dimostrare che la complessità della password non è sufficientemente efficace. Non sono sicuro che la tua dimostrazione di questo attacco in azione farebbe molto di più per influenzare la loro opinione. E se non hai successo, in realtà potrebbe rafforzare la loro convinzione che nulla è sbagliato.

Se il tuo obiettivo è quello di evidenziare punti deboli generali nelle scelte delle password dei tuoi colleghi, allora suggerirei il cracking / analisi delle password piuttosto che la forzatura bruta online. Dovrebbe generare molte password più deboli in un lasso di tempo più breve, che dovrebbe aiutare a evidenziare eventuali problemi di password diffusi.

    
risposta data 27.05.2014 - 20:49
fonte
0

Puoi usare Burpsuite o OWASP ZAP per fare questo test, ma non dovresti nemmeno avere questo problema.

Considera di limitare il numero di tentativi di immissione delle password per un determinato nome utente / IP / ecc. prima che si verifichi un blocco.

Questo, oltre a una buona politica per le password, limiterà drasticamente la capacità degli attaccanti di raccogliere account.

    
risposta data 28.05.2014 - 09:22
fonte
0

Per affrontare la bruteforce puoi usare un vecchio trucco. Usa i thread e mettili in sleep (thread.sleep) se c'è un login fallito ed estendi il tempo di sleep o raddoppialo su ogni login fallito dopo. Fondamentalmente più l'aggressore cerca di ottenere più tempo di attesa.

    
risposta data 28.05.2014 - 09:48
fonte