Quanto è difficile hackerare in un account webmail con una password di 8 caratteri?

Naviga le tue risposte
2

Supponiamo che l'hacker inizi con solo il tuo indirizzo e-mail e ha un alto incentivo per ottenere l'accesso.

UPDATE: Assumi anche che la password sia unica (mai usata altrove) e NON è una parola indecifrabile come il nome del tuo cane con alcuni strani personaggi gettati dentro. La tua password unica in questione potrebbe essere qualcosa del tipo: q*b!oss0 .

Se una lunghezza della password di 8 caratteri è problematica, supponi una lunghezza aumentata a 10 caratteri.

Quali sono le preoccupazioni, gli attacchi e le attenuazioni che un fornitore di webmail potrebbe prendere in considerazione per quanto riguarda la prevenzione del crack delle password?

EDIT 2: Supponiamo anche che venga utilizzata l'autenticazione a due fattori. Questo renderebbe l'account webmail estremamente sicuro?

    
posta bws92082 15.04.2016 - 17:00
fonte

2 risposte

27

"Otto cifre" significa 10 8 = cento milioni di password possibili. Al massimo , hai selezionato la tua password in modo completamente casuale, implicando che l'attaccante, in media , dovrà provare a metà di loro prima di colpire quello giusto (quindi cinquanta milioni di tentativi di connessione ).

(Il "al meglio" significa qui che l'attaccante ha sempre la possibilità di provare le password in un ordine casuale, quindi non esiste una strategia di selezione delle password, per quanto possa sembrare interessante, che può rendere le cose più difficili di quelle per l'attaccante Alcune strategie di selezione possono rendere le cose più semplici , tuttavia, nella generazione di password, le regole di casualità.)

L'importante termine sopra è "medio". In ogni caso specifico, un attaccante può essere particolarmente fortunato o particolarmente sfortunato. Tuttavia, l'attaccante può eseguire lo stesso tipo di calcoli e deciderà di attaccare o di non attaccare in base alle sue probabilità di successo, a priori . Inoltre, non tutti gli aggressori sono completamente razionali nel loro processo decisionale.

Quante autenticazioni che l'utente malintenzionato può tentare dipende dal contesto e dal comportamento del server. Se il server utilizza hardware "tipico", implementa un'elaborazione della password poco costosa (ad esempio, single SHA-1, non bcrypt) e non limita i tassi di autenticazione, un hacker può sperare, ad esempio, su 1000 tentativi di autenticazione al secondo, raggiungendo così i 50 milioni in circa 50000 secondi, cioè circa 14 ore. D'altra parte, se il server blocca l'account dopo 10 tentativi di autenticazione successivi falliti, l'utente malintenzionato non sarà in grado di provare più di 9 tentativi tra qualsiasi momento tu connetti; se ti connetti quotidianamente, il tempo di rottura previsto dell'attaccante sarà di circa 15210 anni.

Poiché vi è una grande varietà di modi in cui i server implementano l'autenticazione, e in particolare quanto provano a rilevare i tentativi di forza bruta e quanto accuratamente reagiscano, l'unica risposta possibile alla tua domanda può essere solo "dipende" .

    
risposta data 15.04.2016 - 17:49
fonte
1

Bene, pensiamoci per un momento. Il set di caratteri per le password è in genere [A-Za-z1-0\~\!...] o 26+26+10+10=72 caratteri per un totale di 72 8 o 722,204,136,308,736 di combinazioni diverse (comprese le combinazioni che sono errate. catturare tutti questi modelli è un po 'sciocco).

A 1000Guesses/1Second che è 22,900.9Years .

Ok, quindi la metrica di 1000 indovina un secondo dovrebbe già alzare la bandiera del rate limiting per farla richiedere più tempo. Ora possono solo indovinare 1 secondo.

22,900,942.9 anni è un tempo lungo, ma sono VERAMENTE determinati.

Ora inseriamo un timer di blocco dopo 10 tentativi. Dì per un minuto. Questo equivale a 1/6 un'ipotesi al secondo o 137,314,541 years . Sono abbastanza sicuro che qualsiasi cosa volessero ottenere l'accesso troppo probabilmente non è più rilevante. Comunque ora è solo per il merito delle cose!

Ora blocchiamo l'account dopo 10 blocchi e richiede una telefonata per sbloccarlo. Ora la persona sa che sta succedendo l'attacco. L'attacco non ha più alcuno sforzo da provare dopo il lockout perché è garantito che abbia una nuova e-mail o una nuova password e che siano tornati al punto di partenza.

Naturalmente questo presuppone che la persona debba superare ogni ipotesi per arrivarci. Realisticamente ciò non accade sempre perché hanno reti zombi, possono farlo in base a intervalli per macchina, e spesso si è fortunati a trovarlo rapidamente. Inoltre, non tutti i modelli di password sono conformi a questi modelli. Spesso si conformano a un set più piccolo di valori Regex che vengono applicati per testare la sua forza e mantenerla al minimo. Ciò significa che tutto ciò è discutibile se ottengono il primo tentativo.

Poiché la casualità si applica alla forzatura bruta, la vera risposta è costituita dai seguenti metodi di protezione:

  • Limitazione della frequenza (non più di X tentativi per la durata del periodo Y)
  • Blocco temporaneo (dopo X fallimenti, tentativi di blocco per conto della lunghezza del periodo Z)
  • Blocco interattivo per il metodo di recupero (richiede il metodo di recupero)
  • 2FA

Ora l'attaccante non può mai ottenere la password A MENO CHE diventino fortunati. Buona fortuna!

    
risposta data 20.04.2016 - 01:54
fonte

Leggi altre domande sui tag

Task Manager e Keylogger Browser Tor ulteriori requisiti di anonimato [duplicato]