Otázka:
Může herec se zlými úmysly zablokovat skutečného uživatele záměrným zkoušením nesprávných hesel každých X minut?
yeti
2017-04-05 20:35:44 UTC
view on stackexchange narkive permalink

Některé weby uzamknou uživatele po sérii nesprávných pokusů o heslo, například na 15 minut. Pokud to zločinec ví, může se úmyslně každých 15 minut pokusit přihlásit pomocí nesprávných hesel, aby zabránil skutečné osobě v přihlášení? Je to skutečná hrozba a pokud ano, jak ji mohou webové stránky chránit?

Viděl jsem web, který uživatele zablokoval, dokud neklikl na odkaz v e-mailu.
Když jsem byl na střední škole, doména NT by vás po 3–5 nesprávných pokusech uzamkla na 15–20 minut a uživatelská jména byla založena na skutečných jménech lidí.Pokud jste věděli, jak zadávat stisknuté klávesy pro odhlášení (Ctrl-Alt-Del, L, Enter), můžete někomu zablokovat účet na svém počítači, jít za ním, natáhnout se a odhlásit se, než bude moci reagovat.
Většina webů online bankovnictví, které jsem měl „potěšení“ používat, se zdá být zranitelná.Po 3 neúspěšných pokusech bude účet trvale uzamčen.Musíte jít do banky a osobně požádat o její opětovné otevření - neúčtují za ni žádné poplatky, ale JE TO potíže.Nyní, vzhledem k tomu, že se jedná o finance, by se dalo tvrdit, že je to v pořádku.ALE, v téměř VŠECH bankách, které jsem použil, je uživatelské jméno JEN číslo.Osoba se zlými úmysly mohla pro „lolz“ velmi snadno zamknout účty vlevo a vpravo.
@Shaamaan Před několika lety jsem na to narazil, ale zjistil jsem, že jsem si skutečně špatně zapamatoval své uživatelské jméno, takže jsem nechtěně zablokoval někoho jiného.
K tomu dochází u populárních streamerů RuneScape.Systém vás uzamkne po příliš mnoha nesprávných pokusech o přihlášení.
Na svých velmi malých webových serverech (myslím, že 300-400 uživatelů * vrcholy *) obvykle provádím automatické, ale trvalé blokování založené na IP.Zdá se, že to pro mé případy příležitostného použití postačuje a věřím, že za posledních 6 let jsem musel ručně odblokovat jen asi 3 nebo 4 lidi.
Odstranil jsem produkční systémy náhodným pokusem o přihlášení k systémovým účtům s nesprávnými hesly.Mějte na paměti, že pokud vytváříte zásady blokování účtů pro systémové účty.:)
@Shaamaan A určitá banka, která zůstane nepojmenovaná, měla ještě horší, uživatelé byli očíslováni * postupně *, takže kdokoli mohl zablokovat celou banku trochou skriptování.
stránka apple id vás uzamkne po opakovaných neúspěšných pokusech o přihlášení ... a pokud máte dvoufaktorové ověřování, musíte mít obnovovací kód, který vám byl dán při prvním nastavení 2FA.Pokud toto nemáte, ztratíte přístup ke svému účtu.
Podle mých vlastních zkušeností se tomu před 5–8 lety dříve říkalo „zmrazení“ účtů a mnoho stránek v herních komunitách bylo obzvláště zranitelných.Mnozí to používali jako protivnost vůči soupeřům / nepřátelům.
@Shaamaan moje banka mi umožňuje vybrat (a změnit) své uživatelské jméno.Pro tento účel používám správce hesel.Uživatelské jméno patří do stejné třídy entropie jako heslo (16 znaků dlouhé).Je nepravděpodobné, že budu uzamčen.
@TannerSwett od kdy měly systémové účty hesla nebo přihlášení?
Toto se označuje jako útok typu Denial of Service (DOS) a je to skutečná hrozba.
@emory Dobré pro vás!Ne každý má takové štěstí.Jedna z mých bank umožňuje uživatelům vybrat si alias, který jim pomůže s přihlášením ... bohužel se tím nezbaví číselného uživatelského jména, které přiřadí ...
šest odpovědi:
hax
2017-04-05 22:07:41 UTC
view on stackexchange narkive permalink

Ochranu proti brutální síle přihlášení lze vynutit třemi způsoby:

  • Dočasné uzamčení
  • Trvalé uzamčení
  • CAPTCHA

Z mého pohledu je CAPTCHA nejrozumnějším řešením, jak se vyhnout riziku bruteforce a odmítnutí služby z důvodu zablokování účtu. Možná jste viděli CAPTCHA, která se objevila na přihlašovacích stránkách Facebooku a Gmailu, pokud zadáte nesprávné heslo více než třikrát nebo čtyřikrát. To je slušný způsob, jak omezit roboty z bruteforcingu a zároveň zabránit zamykání uživatelů.

Trvalé blokování není nové řešení a přidává spoustu provozní režie týmu zákaznické podpory, pokud musí ručně odemknout účet uživatele. Dočasné blokování na druhé straně odradí bruteforcing, ale stejně jako scénář, který jste zmínili, může zablokovat skutečného uživatele.

Nezapomeňte na 2FA!
Také „přihlašovací vzory“.Pokud se osoba důsledně přihlašuje ze stejného místa (stejných IP / kombinace ID prohlížeče), mělo by se s přihlašováním mimo tento vzor zacházet opatrněji.Kromě toho by změny IP se stejným ID prohlížeče měly vydávat varování uživateli nějakou jinou komunikační metodou.
Nejde jen o webové stránky - jaderné zbraně jsou navrženy tak, aby zničily malé kousky uvnitř, pokud se stanou chybnými kódy střelby, takže je třeba je vrátit zpět do centrálního zpracovatelského zařízení, aby mohly být znovu postaveny.
CAPTCHA proti robotům opravdu nepomůže.Myslím, že 2 ze 3 metod ReCAPTCHA již byly poraženy (jednu z nich dokonce i vlastní služby Google) a ta třetí je jen otázkou času.
[povinný xkcd] (https://xkcd.com/810/)
@chrylis Máte zdroje těchto zajímavých informací?
@tudor Jo.Platné metody. 2FA - Dvoufaktorové ověřování značně zvyšuje riziko získání přístupu k prostředkům, i když lze heslo bruteforced.Ačkoli to nelze přísně kategorizovat jako mechanismus ochrany bruteforce, domnívám se, že stojí za zmínku. Nzall Máte pravdu.Bláznivé důkazní řešení je daleko od reality.I když všichni dokáží dokonale odlišit člověka od počítače, nic nemůže porazit farmy, které řeší CAPTCHA.
@Xenos http: // nuclearweaponarchive.org / USA / Weapons / Pal.html https://en.wikipedia.org/wiki/Permissive_Action_Link#Limited_attempts
Existuje důvod, proč jsou správci na vysoké úrovni vyňati z výluky, přestože jsou hlavními cíli.
Blokování delší než několik sekund není vůbec nutné, stačí na to, aby odradilo od pokusů o hrubou sílu.Blokování lze použít jako útoky odmítnutí služby.Mělo by to udělat deset sekund mezi pokusy, plus přihlášení a e-mailové upozornění v případě mnoha pokusů.
Existuje čtvrtá možnost: škrcení.To je technicky podobné dočasnému blokování, ale s velmi malou dobou trvání pro první selhání, poté s delšími pro následné selhání.
Skynet
2017-04-05 20:52:56 UTC
view on stackexchange narkive permalink

Ano, některé weby to dělají, aby zabránily útokům bruteforce nebo hádání hesla. Místo zákazu uživatele by měl web zakázat IP adrese přístup na web.

Pokud útočník přeskakuje z jedné adresy IP na druhou a provádí útok hrubou silou, pak v takovém případě může web zakázat ID uživatele a upozornit na něj zakázaného uživatele prostřednictvím e-mailu nebo jiným způsobem nebo může být zákaz uživatele na krátkou dobu bude také nezbytný.

Pro každého koncového uživatele v protokolu IPv6 je k dispozici prakticky nekonečný prostor IP.
@curiousguy, jak snadné je pro mě získat novou adresu IPv6?Pokud je útočníkem pouze DDoSing jeden účet, nemá v botnetu množství počítačů.
V protokolu IPv6 by bylo dostatečně bezpečné (dočasně) zakázat přestupky / 64 bez velkého rizika ovlivnění ostatních uživatelů.
Počítač obvykle může bez námahy používat 1,8E19 různých adres IPv6.
@curiousguy Říkáte to, ale jak by bylo možné snadno získat nové adresy od jejich ISP?
@LegionMammal978 Tyto adresy nemusíte od ISP získávat, protože vám ISP obvykle přiřadí celý blok / 64.
ano, ale jak zdůraznil @FooBar, nebanujete jedinou adresu IPv6, ale síť / 64.
Podniky, školy atd. Sdílejí / 64 nebo někdy / 48.Jeden člověk si nepamatuje, jaké heslo použil, a vy zamknete celou společnost?
@KarlBielefeldt Zamknout celé společnosti snahu přihlásit se k účtu jednoho člověka?Sakra jo, ten chlap by měl být jediný, kdo se v síti snaží.
@KarlBielefeldt to není nic víc, než se dnes běžně dělá.
@LegionMammal978 „_jak by se dalo snadno získat nové adresy od jejich ISP_“ To * není *, jak funguje IPv6.Routeru je přiřazena celá řada adres, definovaná jeho předponou v binárním formátu;alespoň rozsah / 64 (předpona binární adresy 64 bitů), tj. odlišné adresy 1,8E19, a poměrně často je routeru klienta přiřazen rozsah / 48 (adresy 1E24).Box je zodpovědný za správu sortimentu.Buď klienti používají k vyžádání adres DHCPv6, nebo používají automatickou konfiguraci adres IPv6 v duchu protokolu Rendezvous (nebo Bonjour) společnosti Apple / APIPA.
@curiousguy Dobře, myslím, že není takový nedostatek adres IPv6, jako je IPv4
user2428118
2017-04-07 00:50:40 UTC
view on stackexchange narkive permalink

Jiní respondenti již nabídli několik cenných prostředků, kterými mohou webové stránky zabránit zneužití opatření proti hádání heslem za účelem uzamčení lidí. Tady je další: IP whitelisting.

@Skynet již navrhl černou listinu, ale když útočníci dnes dokážou budovat botnety přes milion zařízení o velikosti, nemusí to být moc efektivní proti vynalézavému útočníkovi. (Všimněte si, že útočník by nemusel takový botnet sám vytvářet: mnoho kybernetických robotů si pronajímá přístup ke svým robotům.)

Takže zatímco blacklisting by mohl nabídnout obranu proti méně výkonnému útočníkovi, pokud by útok škálovatelné až na velký počet IP adres, alternativou by bylo pokusit se omezit přístup k IP adresám, které byly dříve použity k úspěšnému přihlášení k účtu.

Samozřejmě je třeba věnovat pozornost zaujato: pokud má útočník přístup k zařízení, které používá povolenou IP adresu, měl by se web podívat, aby zajistil, že útočníkovi nedovolí uniknout detekci hrubou silou. Protože uživatel může mít dynamickou adresu IP nebo se z nějakého jiného důvodu pokusí přihlásit z nové adresy IP, musí existovat nějaký alternativní mechanismus, kterým může uživatel obejít blokování přihlášení, například :

  • Zadáním CAPTCHA (je však třeba upozornit: odhodlaný útočník by mohl najmout lidi, aby je vyřešil za překvapivě nízkou cenu);
  • Kliknutí na odkaz v e-mailu (budete také chtít zabudovat některé kontroly, abyste zabránili zneužití k zaplavení doručené pošty lidí); nebo
  • pomocí nějakého dvoufaktorového ověřování k prokázání, že jsou legitimním vlastníkem účtu.
Alesana
2017-04-08 04:05:13 UTC
view on stackexchange narkive permalink

Ano a bylo to již dříve. To může u některých webů způsobit velký problém. OWASP uvádí některé příklady toho, jak se to může pokazit na jejich stránce Blocking Brute Force Attacks...

Uzamčení účtu je někdy účinné, ale pouze v kontrolovaných prostředích nebo v případech, kdy je riziko tak velké, že i nepřetržité útoky DoS jsou výhodnější než kompromisy. Ve většině případů je však uzamčení účtu pro zastavení útoků hrubou silou nedostatečné. Vezměme si například aukční web, na kterém několik dražitelů bojuje o stejnou položku. Pokud by aukční web vynucoval výluky účtů, mohl by jeden uchazeč jednoduše zablokovat účty ostatních v poslední minutě aukce a bránit jim v podávání jakýchkoli výherních nabídek. Útočník by mohl stejnou techniku ​​použít k blokování důležitých finančních transakcí nebo e-mailové komunikace.

Tom
2017-04-06 16:30:17 UTC
view on stackexchange narkive permalink

Ano, jedná se o skutečnou hrozbu a je třeba ji vzít v úvahu při vytváření obrany hrubou silou. Byly provedeny i tyto druhy útoků, takže to není čistě teoretické.

Obvykle dnes systém poskytne uzamčenému uživateli nějaké prostředky k resetování jeho účtu, obvykle prostřednictvím samostatného kanálu (mail, SMS atd.)

Mr. E
2017-04-05 20:53:13 UTC
view on stackexchange narkive permalink

Ano, je to možné. Lze tomu však zabránit pomocí CAPTCHA, pokud to má přihlašovací formulář, jediným způsobem, jak toho dosáhnout, je ruční zadávání nesprávných hesel a představuje malé riziko. Útočník musí být opravdu naštvaný, aby strávil celý den zamykáním vašeho účtu.

Rovněž byste měli označit, že účet je uzamčen, když uživatel zadá své přihlašovací údaje správně, aby se zabránilo výčtu účtu, a nikdy nerozlišovat, kdy útočník zadá nesprávný heslo nebo pokud uživatel neexistuje

V závislosti na webových stránkách nemusí vyžadovat šíleného útočníka, pouze rozhodnějšího (webové stránky Bílého domu a vlád by byly vůči těmto útočníkům 24/7 velmi zranitelné).Základní každodenní weby pravděpodobně ne.
Huh, pokud říkáte, že je uzamčen, pouze když najdete správná pověření, pak se to zdá být velmi zranitelné: Dokážu hrubě vynucovat uzamčený účet, aby znal heslo, a jakmile ho najdu, počkejte, až se odemkne.
Nemusíte ani prozrazovat, že účet je uzamčen - stačí poslat jediný e-mail držiteli účtu a při každém pokusu nadále používat běžnou zprávu „Nesprávná pověření“.
Šílení útočníci a opékače topinek.Je to nový odvážný svět, lidi!
@Xenos: Obvyklým přístupem pouze k odhalení zámku správného hesla je odhalit správnému uživateli, že byl aktivován bezpečnostní protokol a musí jednat.Součástí procedury odemykání je obvykle nastavení nového hesla (účinné opětovné ověření e-mailem, stejně jako scénář „zapomenuté heslo“) - to zmírňuje získávání znalostí útočníkem pomocí brutálního vynucování (pokud se na stránce zobrazí zamknutá zpráva)).Zatím mnohem pravděpodobnějším scénářem je, že útočník se vzdá nebo ztrácí čas útokem zbytečnými akcemi.
@NeilSlater Pokud je účet uzamčen, nemůžete být „správným uživatelem“.Tomu, kdo se chce přihlásit, tedy * nesmíte * říct, že účet je uzamčen.E-mail propojený s účtem * můžete * upozornit, že je po určitou dobu uzamčen (ale může být použit k přeměně vašeho serveru na SPAM).Tento email byste * neměli * žádat o změnu hesla (phisingové příležitosti).
@Xenos: Samozřejmě můžete být správným uživatelem, nebo alespoň původním oprávněným uživatelem, stačí se přihlásit jako obvykle a nebudete součástí žádného souběžného útoku - pro případ, že bychom se dostali do rozdílů v terminologii.Informování, že uživatel je složitý úkol, e-mail není spolehlivým zpětným kanálem, takže výzva k úspěšnému přihlášení a nasměrování uživatele na správný postup, jak účet odemknout, což by vyžadovalo další ověření (2fa, ověření e-mailematd).Pokud byl e-mail spolehlivým, snadným a okamžitým kanálem, pak by přihlašování mohlo jít především e-mailem
Upřesnění: Výrazem „není spolehlivé“ rozumím „není včasné a je známo, že je uživateli k dispozici v případě potřeby“.Uživatel, kterého se snažíte chránit, může celkem rozumně očekávat, že bude stránky používat jako obvykle.Pokud to nefunguje, potřebují vysvětlení.Mohli * vidět * e-mail s informacemi o blokování jejich účtu.Možná ne.Musíte vyvážit snížení zmatení tohoto uživatele versus riziko, že umožníte úspěšné dokončení hledání hrubou silou (což, pokud je provedeno vzdáleně přes internet a pravděpodobně je omezeno rychlostí, představuje vysoké riziko pouze v případě slabého hesla).
Útočník nemusí trávit celý den zamykáním účtu.Pokud se jen pokoušíte přihlásit třikrát každých patnáct minut za den, je na světě spousta lidí, kteří by to udělali za cenu sendviče a latte v zemi prvního světa.
@NeilSlater Zdá se mi, že nedostanete, že server nedokáže zjistit, zda je přihlášený uživatel ten legitimní (ten, který říká „účet uzamčen“), nebo útočník, kterému se podaří uhodnout heslo.Zamčený účet je účet, ke kterému se již nemůžete * přihlásit * bez ohledu na to, zda máte správné heslo.Skončím to tam (abych se vyhnul zmatkům).Požádejte lidi na tchatu, aby vám to vysvětlili.


Tyto otázky a odpovědi byly automaticky přeloženy z anglického jazyka.Původní obsah je k dispozici na webu stackexchange, za který děkujeme za licenci cc by-sa 3.0, pod kterou je distribuován.
Loading...