Blocco account per proteggere dalla forza bruta: non apre vulnerabilità agli attacchi DOS? [duplicare]

2

AFAIK la pratica raccomandata per mitigare gli attacchi a forza bruta consiste nel bloccare un account per, diciamo, 15 minuti (forse un'escalation del tempo di lockout se l'attacco continua dopo?) dopo, diciamo, 5 tentativi di accesso falliti.

Capisco il ragionamento (mitigazione della forza bruta) ma c'è ancora una cosa che mi preoccupa. Vale a dire, questo non rende il sito vulnerabile ai blocchi degli account dannosi?

Versione meno severa: a un piccolo troll non piace l'utente X, quindi inseriscono una password banalmente sbagliata per l'account X 5 volte di seguito. Ripeti dopo 15 minuti.

Versione più severa: attacco DOS in piena regola, attacco automatico "forza bruta" contro gli utenti attivi di recente del sito Web esclusivamente allo scopo di attivare il meccanismo di blocco. Diciamo che il sito ha circa 1000 accessi al giorno; attacco contro gli utenti che hanno effettuato l'accesso nell'ultima settimana = al massimo 7000 account, molto meno in realtà, diciamo solo 3500; 5 tentativi di accesso = 17500 tentativi di accesso, non lo so, ma questo sembra sicuramente fattibile, non è vero? E questo è già un sito molto popolare: per i siti Web più vulnerabili a tali attacchi (forum su Internet?) Questi numeri potrebbero addirittura essere inferiori di due ordini di grandezza!

Non capisco questa pratica. Non attenua gli attacchi di cracking delle password a forza bruta a costo di aprire vulnerabilità evidenti agli attacchi DOS?

    
posta gaazkam 16.11.2018 - 21:16
fonte

2 risposte

1

Sì, hai ragione, c'è sempre bisogno di basarsi sulla gestione dei rischi della situazione e capire quali sono i tuoi rischi e qual è il problema principale che vuoi risolvere meglio degli altri problemi.

Una buona pratica è combinare, ad esempio è possibile implementare un ritardo di accesso che non danneggerà davvero la tua esperienza utente ma renderà la vita dura ai cattivi. Diciamo, crea un ritardo casuale come 2 secondi - 10 e non bloccare l'utente per più di 2 minuti.

E meglio usare captcha anche senza bloccare gli utenti (o solo bloccare dopo una grande quantità di accessi falliti in base all'indirizzo IP e non in base al nome utente) ..

Un buon riferimento per leggere (non esattamente quello che stai chiedendo ma interessante per ottenere alcuni approfondimenti): link

    
risposta data 16.11.2018 - 22:21
fonte
0

Hai assolutamente ragione, bloccando gli account viene creata una vulnerabilità DOS. Se gli utenti malintenzionati riescono a carpire i nomi utente del sito Web, possono facilmente bloccare molti utenti. Questo tipo di difesa contro gli attacchi di forza bruta non è raccomandato, questo contiene una difesa adeguata contro gli attacchi di forza bruta.

    
risposta data 16.11.2018 - 23:24
fonte