Blocco account con interazione umana richiesta per lo sblocco

Naviga le tue risposte
2

Mi sono appena bloccato di nuovo dal sistema della mia università per aver digitato la password sbagliata due volte, quindi ho digitato erroneamente quello corretto per sbaglio. Ora devo chiamare l'helpdesk o andare lì da solo per resettarlo.

Ora la mia domanda, c'è davvero qualche valore nel farlo? Potrei capire un blocco di 5-15 minuti, ma semplicemente non vedo alcun valore nel blocco di un account rigido dal punto di vista della sicurezza. Dal mio punto di vista come utente di questo sistema, è stato niente ma guai, frustrazione e tanto, tanto tempo perso.

Semmai, sembra un enorme cartello che dice "blocca l'account di questo utente GRATIS!" semplicemente conoscendo il loro nome utente, abilitando il denial of service di massa con poco sforzo. Ma potrei mancare qualcosa.

Naturalmente, sono ovviamente di parte, quindi qualcuno vede un vantaggio nel farlo? Per me sembra un overzeal, e le loro altre politiche sulle password - ti risparmierò l'orrore - davvero non faccio un buon lavoro a farmi stare bene a dare loro delle password, ma sfortunatamente ho zero autorità su questo.

    
posta Thomas 04.03.2013 - 08:54
fonte

3 risposte

4

Sono d'accordo: il blocco dell'account rigido può essere utilizzato dagli utenti malintenzionati per gli account utente legittimi di DoS (Denial of service). A seconda della sensibilità degli account utente, un blocco basato sul tempo potrebbe essere più appropriato. Per applicazioni simili, la nostra azienda utilizza un approccio incrementale basato sul tempo.

Ad esempio, la prima volta che si blocca dopo 3 password errate si blocca per 10 minuti. Se è bloccato di nuovo, si blocca per 20 minuti. La terza volta 40 minuti. E così via, questo tempo di incremento fa sì che richieda molto tempo per i tentativi automatici di forza bruta e darà tempo significativo al team di amministrazione / sicurezza di sys per identificare un attacco. Senza il lockout basato sul tempo, un attacco di forza bruta sarebbe possibile in un certo numero di minuti, e con il blocco dell'account duro causerebbe un mal di testa per il team di supporto.

Una domanda sarebbe: puoi facilmente enumerare i nomi utente dell'applicazione. Se è quindi possibile farlo notare al team di supporto / sviluppo in quanto un malintenzionato potrebbe facilmente fare lo stesso e bloccare tutti gli account nel sistema.

    
risposta data 04.03.2013 - 10:52
fonte
2

Il problema

Determinare la soglia della tua politica di password è abbastanza obiettivo. A seconda di come viene configurata l'autenticazione, è possibile avere un numero basso di tentativi di accesso non valido (1-3) in un determinato periodo di tempo e un sovraccarico amministrativo più elevato o un numero maggiore di tentativi di accesso errati con un sovraccarico amministrativo inferiore.

Tentativi di accesso non valido in bassa

Considera l'esempio in cui un utente ha solo 1-3 tentativi di accesso errati e viene bloccato dal sistema. Questo riduce al minimo la possibilità di un attacco con password di successo e impedisce quasi tutti i tentativi di bruteforce. Questa soglia offre la massima sicurezza che è possibile raggiungere tramite tentativi di accesso non validi.

Solo alcuni tentativi di accesso errati bloccano l'utente e l'account dovrà essere sbloccato prima di un altro tentativo di accesso. Ciò semplifica la preforme di un DoS su te stesso, il tuo insegnante, il tuo capo o il tuo amico.

Tentativi di accesso errato alto

Un numero ragionevole di tentativi di accesso errati superiori a 5-10 è considerato elevato. Se un utente ha bisogno di 10 tentativi prima di ottenere la password corretta, probabilmente è a causa di accessi poco frequenti o semplicemente non ricorda la sua password.

Con i tentativi di accesso errato più elevati, c'è una maggiore possibilità di successo durante un attacco con password. Se gli utenti digitano la loro password corretta prima della soglia, non vi è alcun sovraccarico amministrativo.

Nessun tentativo di accesso errato

Di solito si trova quando si accede a un sistema locale senza autenticazione di rete, come un PC di casa. Nell'autenticazione di rete, questo metodo richiede di essere sottoposto a un attacco di password.

Ovviamente ciò consentirà un numero illimitato di tentativi di password da parte di chiunque .

Overhead amministrativo

Le aziende e le organizzazioni devono pagare le persone per aiutare a sbloccare account clienti / dipendenti. Il modo più comune è utilizzare un sistema di reimpostazione della password tramite e-mail. Costa denaro sviluppare, supportare, integrare e mantenere un sistema come questo. Tuttavia, è abbastanza conveniente per le altre alternative.

Un help desk ti aiuterà a risolvere qualsiasi problema che il sistema di posta elettronica non è in grado di risolvere. Se un utente ha dimenticato la password del tuo sito, forse ha dimenticato anche la password per la sua password di posta elettronica!

Debolezze

Grandi scuole, banche, organizzazioni possono essere prese di mira con un attacco di password del dizionario. Quando ci sono più account, c'è una migliore possibilità di un attacco riuscito. E quando puoi attaccare un account molte volte prima che venga bloccato, ha una maggiore possibilità di essere compromesso.

Se la scuola UCLA ha 40.000 studenti, ci si aspetterebbe che alcuni degli account possano avere password che includono "UCLA", "bruins", "college" e password deboli.

Conclusione

Spetta ai gestori, agli amministratori e così via scegliere la politica della password adatta alla loro situazione. Molte cose dovrebbero essere incluse in questa decisione e alcune sono: costo della perdita di dati, spese generali amministrative, costo della sicurezza, costo dei potenziali tempi di fermo.

    
risposta data 04.03.2013 - 20:31
fonte
0

Bene, la moneta ha due lati.

L'interazione di sblocco è lì per avere un umano fidato - la persona dell'help desk - controlla che la persona che chiede lo sblocco sia davvero tu . Questo può essere fatto per telefono, chiedendoti alcuni dettagli ... E questo può essere veloce, a condizione che l'help desk sia aperto - qui un help desk 24/7 è molto utile.

D'altra parte, odio quando un account è bloccato per una determinata durata, diciamo 15 minuti. Se vuoi davvero fare qualcosa ora , non puoi fare nulla, non puoi telefonare al servizio giusto, devi aspettare 15 minuti. Questo è frustrante, e trovo questo più blocco.

    
risposta data 04.03.2013 - 21:53
fonte

Leggi altre domande sui tag

Ho bisogno di spiegazioni su quanto siano gravi queste vulnerabilità? In questo esempio, perché hanno cancellato un pezzo di sale generato a caso prima di cancellarlo con la password?