Frage:
Kann ein böswilliger Akteur den echten Benutzer aussperren, indem er absichtlich alle X Minuten falsche Passwörter versucht?
yeti
2017-04-05 20:35:44 UTC
view on stackexchange narkive permalink

Einige Websites sperren einen Benutzer nach einer Reihe falscher Kennwortversuche, beispielsweise für 15 Minuten. Wenn ein böswilliger Akteur dies weiß, kann er absichtlich versuchen, sich alle 15 Minuten mit falschen Passwörtern anzumelden, um zu verhindern, dass sich die reale Person anmeldet? Ist dies eine echte Bedrohung und wenn ja, wie können Websites davor schützen?

Ich habe eine Website gesehen, die den Benutzer sperrt, bis er auf einen Link in seiner E-Mail klickt.
Als ich in der High School war, hat die NT-Domain Sie nach 3-5 falschen Versuchen für 15 bis 20 Minuten gesperrt, und die Benutzernamen basierten auf den tatsächlichen Namen der Leute.Wenn Sie wissen, wie Sie die Tastenanschläge zum Abmelden eingeben müssen (Strg-Alt-Entf, L, Eingabe), können Sie das Konto einer Person auf Ihrem eigenen Computer sperren, hinter ihn treten, nach ihm greifen und ihn abmelden, bevor er reagieren kann.
Die meisten Online-Banking-Websites, für die ich das "Vergnügen" hatte, scheinen dafür anfällig zu sein.Nach 3 fehlgeschlagenen Versuchen wird das Konto dauerhaft gesperrt.Sie müssen zur Bank gehen und persönlich die Wiedereröffnung beantragen - sie erheben keine Gebühren dafür, aber es ist ein Ärger.Angesichts der Tatsache, dass es sich um Finanzen handelt, könnte man argumentieren, dass dies in Ordnung ist.ABER in fast ALLEN Banken, die ich in der ersten Bar verwendet habe, ist der Benutzername NUR eine Nummer.Eine böswillige Person könnte sehr leicht Konten links und rechts für die "lolz" sperren.
@Shaamaan Vor ein paar Jahren bin ich darauf gestoßen, habe aber festgestellt, dass ich mich tatsächlich falsch an meinen Benutzernamen erinnert habe, also habe ich jemand anderen unbeabsichtigt ausgesperrt.
Dies geschieht mit beliebten RuneScape-Streamern.Das System sperrt Sie nach zu vielen falschen Anmeldeversuchen.
Auf meinen sehr kleinen Webservern (denken Sie an 300-400 Benutzer * top *) mache ich im Allgemeinen automatisierte, aber IP-basierte permanente Sperren.Es scheint für meine gelegentlichen Anwendungsfälle ausreichend zu sein, und ich glaube, dass ich in den letzten 6 Jahren nur 3 oder 4 Personen manuell entsperren musste.
Ich habe Produktionssysteme heruntergefahren, indem ich versehentlich versucht habe, mich mit falschen Passwörtern bei Systemkonten anzumelden.Beachten Sie Folgendes, wenn Sie eine Kontosperrungsrichtlinie für Systemkonten erstellen.:) :)
@Shaamaan Und eine bestimmte Bank, die unbenannt bleiben soll, hatte es noch schlimmer, die Benutzer wurden * fortlaufend * nummeriert, so dass jeder die gesamte Bank mit ein bisschen Scripting sperren konnte.
Die Apple-ID-Site sperrt Sie nach wiederholten fehlgeschlagenen Anmeldeversuchen. Wenn Sie über eine 2-Faktor-Authentifizierung verfügen, müssen Sie über den Wiederherstellungscode verfügen, den Sie beim ersten Einrichten des 2FA erhalten haben.Wenn Sie dies nicht haben, verlieren Sie den Zugriff auf Ihr Konto.
Nach meiner eigenen Erfahrung wurde dies vor 5 bis 8 Jahren als "Einfrieren" von Konten bezeichnet, und insbesondere viele Websites in Spielegemeinschaften waren dafür anfällig.Viele nutzten dies als Ärger für Rivalen / Feinde.
@Shaamaan Mit meiner Bank kann ich meinen Benutzernamen auswählen (und ändern).Ich benutze zu diesem Zweck einen Passwort-Manager.Der Benutzername gehört zur gleichen Entropieklasse wie das Passwort (16 Zeichen lang).Es ist unwahrscheinlich, dass ich ausgesperrt werde.
@TannerSwett seit wann hatten Systemkonten Passwörter oder Anmeldungen?
Dies wird als Denial-of-Service-Angriff (DOS) bezeichnet und ist in der Tat eine echte Bedrohung.
@emory Gut für dich!Nicht jeder hat so viel Glück.In einer meiner Banken können die Benutzer einen Alias auswählen, der bei der Anmeldung hilft. Leider wird der von ihnen zugewiesene numerische Benutzername dadurch nicht entfernt.
Sechs antworten:
hax
2017-04-05 22:07:41 UTC
view on stackexchange narkive permalink

Der Brute-Force-Schutz für die Anmeldung kann auf drei Arten erzwungen werden:

  • Temporäre Sperre
  • Permanente Sperre
  • CAPTCHA

Aus meiner Sicht ist CAPTCHA die vernünftigste Lösung, um das Risiko von Bruteforce sowie Denial-of-Service aufgrund von Kontosperrung zu vermeiden. Möglicherweise wurde auf den Anmeldeseiten von Facebook und Google Mail ein CAPTCHA angezeigt, falls Sie mehr als drei- oder viermal ein falsches Passwort eingeben. Dies ist eine anständige Methode, um Bots am Bruteforcing zu hindern und gleichzeitig das Aussperren von Benutzern zu vermeiden.

Die permanente Sperrung ist keine neuartige Lösung und erhöht den operativen Aufwand für das Kundensupport-Team, wenn dies erforderlich ist Entsperren Sie das Konto manuell für den Benutzer. Temporäre Sperrung verhindert dagegen Bruteforcing, kann jedoch wie in dem von Ihnen erwähnten Szenario einen echten Benutzer sperren.

2FA nicht vergessen!
Auch "Anmeldemuster".Wenn sich eine Person konsistent von demselben Ort aus anmeldet (IP / Browser-ID-Kombination), sollten Anmeldungen außerhalb dieses Musters vorsichtiger behandelt werden.Darüber hinaus sollten IP-Änderungen mit derselben Browser-ID durch eine andere Kommunikationsmethode eine Warnung an den Benutzer senden.
Es sind nicht nur Websites - Atomwaffen sind so konzipiert, dass sie winzige Teile im Inneren zerstören, wenn sie falsche Zündcodes erhalten, sodass sie zur Wiederherstellung in die zentrale Verarbeitungsanlage zurückgebracht werden müssen.
CAPTCHA hilft nicht wirklich gegen Bots.Ich meine, 2 der 3 ReCAPTCHA-Methoden wurden bereits besiegt (eine davon sogar von Googles eigenen Diensten), und die dritte ist nur eine Frage der Zeit.
[obligatorisch xkcd] (https://xkcd.com/810/)
@chrylis Sie haben Quellen für diese interessanten Informationen?
@tudor Yup.Gültige Methoden. 2FA - Die Zwei-Faktor-Authentifizierung erhöht das Risiko, Zugriff auf Ressourcen zu erhalten, erheblich, selbst wenn das Kennwort brutal erzwungen werden kann.Obwohl es nicht streng als Bruteforce-Schutzmechanismus eingestuft werden kann, halte ich es für erwähnenswert. Nzall Du hast recht.Eine narrensichere Lösung ist weit von der Realität entfernt.Selbst wenn sie alle Menschen perfekt von Computern unterscheiden können, kann nichts CAPTCHA-Lösungsfarmen übertreffen.
@Xenos http: // nukleares Waffenarchiv.org / USA / Waffen / Pal.html https://en.wikipedia.org/wiki/Permissive_Action_Link#Limited_attempts
Es gibt einen Grund, warum hochrangige Administratoren von der Aussperrung ausgenommen sind, obwohl sie die Hauptziele sind.
Eine Sperrung von mehr als ein paar Sekunden ist überhaupt nicht erforderlich, gerade lange genug, um Brute-Force-Versuche zu unterbinden.Lockouts können als Denial-of-Service-Angriffe verwendet werden.Zehn Sekunden zwischen den Versuchen sowie die Protokollierung und eine E-Mail-Benachrichtigung bei vielen Versuchen sollten dies tun.
Es gibt eine vierte Option: Drosselung.Dies ist technisch ähnlich wie eine vorübergehende Sperrung, jedoch mit einer sehr geringen Dauer für den ersten Fehler, dann zunehmend längeren für nachfolgende Fehler.
Skynet
2017-04-05 20:52:56 UTC
view on stackexchange narkive permalink

Ja, einige Websites tun dies, um Bruteforce- oder Kennwortschätzungsangriffe zu verhindern. Anstatt den Benutzer zu verbieten, sollte die Website der IP-Adresse den Zugriff auf die Website verbieten.

Wenn der Angreifer von einer IP-Adresse zur anderen springt und den Brute-Force-Angriff ausführt, kann die Website in diesem Fall die Benutzer-ID sperren und den gesperrten Benutzer per E-Mail oder auf andere Weise benachrichtigen Ein kurzes Verbot des Benutzers reicht ebenfalls aus.

In IPv6 steht jedem Endbenutzer praktisch unendlich viel IP-Speicherplatz zur Verfügung.
@curiousguy Wie einfach ist es für mich, eine neue IPv6-Adresse zu erhalten?Wenn der Angreifer nur ein DDoS-Konto hat, hat er keine Massen von Computern in einem Botnetz.
In IPv6 wäre es sicher genug, einen Verstoß (64) (vorübergehend) zu verbieten, ohne dass das Risiko besteht, andere Benutzer zu beeinträchtigen.
Normalerweise kann der Computer ohne Aufwand 1.8E19 verschiedene IPv6-Adressen verwenden.
@curiousguy Sie sagen das, aber wie könnte man leicht neue Adressen von seinem ISP erhalten?
@LegionMammal978 Sie müssen diese Adressen nicht vom ISP erhalten, da der ISP Ihnen normalerweise einen ganzen / 64-Block zuweist.
Ja, aber wie von @FooBar hervorgehoben, verbieten Sie nicht die einzelne IPv6-Adresse, sondern das / 64-Netzwerk.
Unternehmen, Schulen usw. teilen sich eine / 64 oder manchmal eine / 48.Einer kann sich nicht erinnern, welches Passwort er verwendet hat, und Sie werden ein ganzes Unternehmen aussperren?
@KarlBielefeldt Das ganze Unternehmen davon abhalten, sich bei einem Mann anzumelden?Verdammt ja, dieser Typ sollte der einzige im Netzwerk sein, der es versucht.
@KarlBielefeldt ist nicht mehr als heute üblich.
@LegionMammal978 "_wie könnte man leicht neue Adressen von seinem ISP_ erhalten?" So funktioniert IPv6 * nicht *.Ihrem Router wird eine ganze Reihe von Adressen zugewiesen, die durch das Präfix in Binärform definiert sind.Mindestens ein / 64-Bereich (ein binäres Adresspräfix von 64 Bit), dh 1.8E19-Adressen, und häufig wird dem Router eines Clients ein / 48-Bereich (1E24-Adressen) zugewiesen.Die Box ist für die Verwaltung des Sortiments verantwortlich.Entweder verwenden die Clients DHCPv6, um Adressen anzufordern, oder sie verwenden die automatische Konfiguration der IPv6-Adresse im Sinne des Rendezvous- (oder Bonjour-) Protokolls / APIPA von Apple.
@curiousguy Okay, ich denke, es gibt keinen solchen Mangel an IPv6-Adressen wie an IPv4-Adressen
user2428118
2017-04-07 00:50:40 UTC
view on stackexchange narkive permalink

Andere Antwortende haben bereits einige wertvolle Mittel angeboten, mit denen eine Website den Missbrauch von Maßnahmen zum Erraten von Passwörtern verhindern kann, um Personen auszuschließen. Hier ist noch eines: IP-Whitelisting.

@Skynet schlug bereits eine schwarze Liste vor, aber da Angreifer heutzutage in der Lage sind, Botnets mit einer Größe von weit über einer Million Geräten zu erstellen, ist dies möglicherweise nicht sehr wirksam gegen einen findigen Angreifer. (Beachten Sie, dass ein Angreifer ein solches Botnetz nicht selbst erstellen müsste: Viele Cybercrooks vermieten den Zugriff auf ihre Bots.)

Während eine schwarze Liste eine Verteidigung gegen einen weniger mächtigen Angreifer bieten könnte, wäre dies ein Angriff Bei einer Skalierung auf eine große Anzahl von IP-Adressen besteht eine Alternative darin, den Zugriff auf IP-Adressen zu beschränken, die zuvor für die erfolgreiche Anmeldung beim Konto verwendet wurden.

Natürlich ist weiterhin Vorsicht geboten genommen: Wenn ein Angreifer Zugriff auf ein Gerät hat, das eine IP-Adresse auf der Whitelist verwendet, sollte eine Website sicherstellen, dass der Angreifer dadurch nicht der Brute-Force-Erkennung entgeht. Da ein Benutzer möglicherweise eine dynamische IP-Adresse hat oder aus einem anderen Grund versucht, sich von einer neuen IP-Adresse aus anzumelden, muss es einen alternativen Mechanismus geben, mit dem der Benutzer die Anmeldeblockierung umgehen kann, z :

  • Durch Eingabe eines CAPTCHA (obwohl gewarnt werden sollte: Ein entschlossener Angreifer könnte Leute einstellen, um diese zu einem überraschend niedrigen Preis zu lösen);
  • Klicken Sie auf einen Link in einer E-Mail (Sie sollten auch einige Überprüfungen einbauen, um zu verhindern, dass diese missbraucht werden, um die Posteingänge von Personen zu überfluten). oder
  • Verwenden einer Zwei-Faktor-Authentifizierung, um zu beweisen, dass sie der rechtmäßige Eigentümer des Kontos sind.
Alesana
2017-04-08 04:05:13 UTC
view on stackexchange narkive permalink

Ja, und das wurde schon einmal gemacht. Dies kann bei bestimmten Websites zu großen Problemen führen. OWASP listet auf seiner -Seite zum Blockieren von Brute-Force-Angriffen...

die Kontosperrung manchmal effektiv auf, aber nur in kontrollierten Umgebungen oder in Fällen, in denen das Risiko so groß ist, dass selbst kontinuierliche DoS-Angriffe vorzuziehen sind, um Kompromisse einzugehen. In den meisten Fällen reicht die Kontosperrung jedoch nicht aus, um Brute-Force-Angriffe zu stoppen. Stellen Sie sich zum Beispiel eine Auktionsseite vor, auf der mehrere Bieter um denselben Gegenstand streiten. Wenn die Auktionswebsite Kontosperrungen erzwingt, kann ein Bieter einfach die Konten der anderen in der letzten Minute der Auktion sperren und so verhindern, dass sie Gewinnergebote abgeben. Ein Angreifer kann dieselbe Technik verwenden, um kritische Finanztransaktionen oder E-Mail-Kommunikation zu blockieren.

Tom
2017-04-06 16:30:17 UTC
view on stackexchange narkive permalink

Ja, dies ist eine echte Bedrohung und sollte beim Aufbau Ihrer Brute-Force-Verteidigung berücksichtigt werden. Diese Art von Angriffen wurde ebenfalls durchgeführt, daher ist dies nicht rein theoretisch.

Heutzutage bietet ein System einem gesperrten Benutzer normalerweise die Möglichkeit, sein Konto zurückzusetzen, normalerweise über einen separaten Kanal (Mail, SMS usw.)

Mr. E
2017-04-05 20:53:13 UTC
view on stackexchange narkive permalink

Ja, das ist möglich. Mit CAPTCHA kann dies jedoch verhindert werden. Wenn das Anmeldeformular dies zulässt, können Sie dies nur durch die manuelle Eingabe falscher Kennwörter erreichen. Dies ist ein geringes Risiko. Der Angreifer muss wirklich verrückt sein, um seinen ganzen Tag damit zu verbringen, Ihr Konto zu sperren.

Außerdem sollten Sie nur angeben, dass das Konto gesperrt ist, wenn der Benutzer seine Anmeldeinformationen korrekt eingibt, um eine Aufzählung des Kontos zu verhindern, und niemals unterscheiden, wenn der Angreifer das falsche Konto eingibt Passwort oder wenn der Benutzer nicht existiert

Abhängig von der Website ist möglicherweise kein verrückter Angreifer erforderlich, sondern nur ein entschlossener (Websites des Weißen Hauses und der Regierung wären für solche 24/7-Angreifer sehr anfällig).Grundlegende alltägliche Websites wahrscheinlich nicht.
Huh, wenn Sie sagen, dass es nur gesperrt ist, wenn Sie die richtigen Anmeldeinformationen gefunden haben, dann scheint es sehr anfällig zu sein: Ich kann ein gesperrtes Konto brutal zwingen, das Kennwort zu kennen, und wenn es gefunden wurde, warten Sie einfach, bis es entsperrt wird.
Sie müssen nicht einmal angeben, dass das Konto gesperrt ist. Senden Sie einfach eine einzelne E-Mail an den Kontoinhaber und verwenden Sie bei jedem Versuch die normale Meldung "Falsche Anmeldeinformationen".
Verrückte Angreifer und Toaster mit Hintertüren.Es ist eine schöne neue Welt, Leute!
@Xenos: Der übliche Ansatz, um nur die Sperre für das richtige Passwort aufzudecken, besteht darin, dem richtigen Benutzer mitzuteilen, dass das Sicherheitsprotokoll aktiviert wurde und er Maßnahmen ergreifen muss.In der Regel besteht ein Teil des Entsperrvorgangs darin, ein neues Kennwort festzulegen (eine erneute Überprüfung per E-Mail wie bei einem Szenario mit vergessenem Kennwort). Dadurch wird verhindert, dass Angreifer durch Brute-Forcing Kenntnisse erlangen (wenn die gesperrte Nachricht auf der Seite angezeigt wird)).In der Zwischenzeit ist es weitaus wahrscheinlicher, dass der Angreifer den Angriff aufgibt oder Zeit verschwendet, indem er nutzlose Aktionen ausführt.
@NeilSlater Wenn das Konto gesperrt ist, können Sie nicht der "richtige Benutzer" sein.Sie dürfen also demjenigen, der sich anmelden möchte, nicht mitteilen, dass das Konto gesperrt ist.Sie * können * die mit dem Konto verknüpfte E-Mail benachrichtigen, dass sie jetzt für einige Zeit gesperrt ist (können jedoch verwendet werden, um Ihren Server in einen SPAM-Server zu verwandeln).Sie * sollten * diese E-Mail nicht bitten, ihr Passwort zu ändern (Phising-Möglichkeiten).
@Xenos: Natürlich können Sie der richtige Benutzer oder zumindest der ursprünglich autorisierte Benutzer sein, indem Sie sich wie gewohnt anmelden und nicht Teil eines gleichzeitigen Angriffs sind - falls wir auf terminologische Unterschiede stoßen.Wenn Sie den Benutzer darüber informieren, dass es sich um eine knifflige Aufgabe handelt, ist E-Mail kein zuverlässiger Rückkanal. Sie werden daher aufgefordert, sich erfolgreich anzumelden, und der Benutzer wird auf den richtigen Prozess hingewiesen, um das Konto zu entsperren. Dies sollte eine zusätzliche Authentifizierung erfordern (2fa, E-Mail-Überprüfung)usw).Wenn E-Mail ein zuverlässiger, einfacher und sofortiger Kanal ist, können Anmeldungen zunächst per E-Mail erfolgen
Klarstellung: Mit "nicht zuverlässig" meine ich "nicht rechtzeitig und bekanntermaßen dem Benutzer bei Bedarf zur Verfügung".Der Benutzer, den Sie schützen möchten, kann davon ausgehen, dass er die Website wie gewohnt verwendet.Wenn das nicht funktioniert, brauchen sie eine Erklärung.Sie * haben * möglicherweise die E-Mail gesehen, die sie über eine Sperrung ihres Kontos informiert.Sie könnten nicht.Sie müssen das Gleichgewicht zwischen der Verringerung der Verwirrung dieses Benutzers und dem Risiko, dass eine Brute-Force-Suche erfolgreich abgeschlossen werden kann, ausgleichen.
Der Angreifer muss nicht den ganzen Tag damit verbringen, das Konto zu sperren.Wenn es nur darum geht, sich an einem Tag dreimal alle fünfzehn Minuten anzumelden, gibt es viele Menschen auf der Welt, die dies zum Preis eines Sandwichs und eines Latte in einem Land der Ersten Welt tun würden.
@NeilSlater Mir scheint, dass Sie nicht wissen, dass der Server nicht erkennen kann, ob der angemeldete Benutzer der legitime Benutzer ist (derjenige, der "Konto gesperrt" mitteilt) oder der Angreifer, der es schafft, das Kennwort zu erraten.Ein gesperrtes Konto ist ein Konto, bei dem Sie sich nicht mehr * anmelden * können, unabhängig davon, ob Sie das richtige Passwort haben.Ich werde es dort beenden (um unordentliche Kommentare zu vermeiden).Bitten Sie die Leute auf tchat, Ihnen zu erklären.


Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
Loading...