È efficace verificare quante volte è stata immessa la stessa password per timore di un attacco di temporizzazione comparativo delle stringhe?

1

Quante volte un utente malintenzionato deve inserire la stessa password quando esegue un attacco di sincronizzazione comparativa delle stringhe? Suppongo che dovrebbe essere almeno alcune dozzine di volte per fare una media del ritardo di rete, per esempio. Se il numero è significativamente maggiore del numero che un utente normale inserirà, sta controllando il numero di volte in cui una persona inserisce una password un modo efficace per combattere gli attacchi temporali di comparazione delle stringhe? Ad esempio, se i tentativi della stessa password superano 100, allora richiede un CAPTCHA? È più efficiente in termini di risorse rispetto alla semplice verifica dell'intera password?

    
posta APCoding 22.07.2015 - 16:28
fonte

1 risposta

5

Dovresti già essere in grado di limitare i tentativi di accesso dopo alcune richieste (blocco temporaneo, CAPTCHA, Clippy spuntando e rimandandoti, ecc.). Questo è un modo comune per fermare gli attacchi di forza bruta e paralizzerà anche quelli che tentano di fare attacchi temporali.

Modifica

Inoltre, se hai password di hashing e le cerchi in un database, gli attacchi di temporizzazione non dovrebbero essere molto pertinenti. L'attaccante dovrebbe essere in grado di produrre hash arbitrari per gradualmente "home in" su quello giusto. Questo è molto difficile!

Gli attacchi a tempo saranno più rilevanti per cose come cookie di sessione

    
risposta data 22.07.2015 - 16:47
fonte

Leggi altre domande sui tag