Ho familiarità con il funzionamento degli attacchi brute-force offline. Ma per gli account online , supponendo che non ci sia ingegneria sociale, quanto è fattibile attuare una password con attacco a forza bruta? Ad esempio, questo dipende dalla complessità della password o forse da qualche altra vulnerabilità, come l'intercettazione degli handshake SSL / TLS?
Gli attacchi bruteforce online contro un sistema progettato correttamente sono probabilmente irrealizzabili con tutte tranne le password più deboli.
Ciò è dovuto al fatto che i sistemi online possono implementare un'ampia gamma di tecniche di limitazione della velocità che limiteranno il numero di tentativi che l'utente malintenzionato deve indovinare la password di un singolo account.
Naturalmente ci sono alcune tecniche disponibili per provare e aggirare le tecniche di limitazione della velocità, come provare una singola password su più account utente o distribuire i tentativi di accesso tra più indirizzi IP per cercare di superare i divieti IP. Tuttavia, non sono sicuro dell'efficacia di tali tecniche.
C'è un altro fattore che limita l'efficacia degli attacchi bruteforce online. Il fattore limitante in tali attacchi di solito non è la potenza di elaborazione che può beneficiare di grandi farm GPU. Il fattore limitante di solito è la rete. Ogni singola interfaccia di rete può inviare solo molti pacchetti al secondo. Anche se puoi permetterti di avere migliaia di interfacce di rete che inviano i pacchetti necessari per un attacco bruteforce online, il server sul quale è ospitato il tuo target probabilmente non può gestire i milioni di pacchetti che lo bombardano. A questo punto, il tuo attacco bruteforce online è diventato un attacco denial-of-service.
Supponendo che tu stia parlando di un'applicazione web, è probabilmente più facile per gli hacker sfruttare altri difetti come le iniezioni SQL per ottenere un dump del database ed eseguire attacchi offline usando cluster di hardware dedicato.
Leggi altre domande sui tag passwords authorization brute-force