4066 utenti della rete avevano questa curiosità: Spiegami : come può ancora esistere la forzatura bruta della password se i siti bloccano l'account dopo diversi tentativi falliti?
Spiegami: come può ancora esistere la forzatura bruta della password se i siti bloccano l'account dopo diversi tentativi falliti?
Ed ecco le risposte:
Perché non forzate direttamente il sistema live. Gli aggressori avranno ottenuto una copia del database delle password e potranno attaccarlo localmente sul proprio sistema, dove i blocchi o altri controlli non sono un fattore.
C'è più di un modo per forzare brutamente una password. Lo scopo di un blocco è prevenire questo esatto tipo di attacco, ma se l'attaccante può ottenere maggiori informazioni può aggirare questo blocco. Server Generalmente memorizza la password utilizzando qualcosa chiamato hash che è un “numero” calcolato utilizzando un algoritmo che non può essere eseguito al contrario, una password può essere inserita attraverso un algoritmo hash e l'hash restituito può essere memorizzato. Quando qualcuno tenta di accedere, il server genera l'hash della password che hai appena digitato e se è uguale a quella che ha memorizzato sei loggato.
Se un utente malintenzionato ottiene il database hash delle password e sa quale algoritmo utilizza, può provare a forzare la password senza tentare di accedere al sito. Una volta che hanno una password che corrisponde all'hash originale, possono inserirla nel sito e potrai accedere.
Possiamo copiare il sistema che stiamo tentando di violare in modo da poter fare tutti i tentativi che vogliamo indipendentemente dal blocco. Ad esempio, se ho il tuo iPhone, con circa un'ora di “intervento” posso leggere direttamente la memoria e lo storage integrato, quindi diventa banale clonare il tuo telefono in un sistema informatico in grado di creare 10000 copie e forza bruta durante la ricarica ogni telefono che viene bloccato.
La regola 0 è la sicurezza fisica. Se ho accesso fisico ai tuoi dati grezzi, che si tratti di una copia dei tuoi dischi rigidi o del tuo telefono in mano, sei già fottuto. Nessuna quantità di sicurezza può fermarmi se ho i dati e il sistema completi.
Persone come l'FBI e la CIA che hanno il budget per clonare i dispositivi di un criminale in oltre 100.000 istanze in un data center possono semplicemente lasciarlo funzionare per una settimana e decrittografarlo. E sì, possiamo anche falsificare i server di autenticazione e altri controlli che il tuo dispositivo potrebbe effettuare per vedere se è “legittimo”. Possiamo mettere nel cervello i tuoi dispositivi e loro non hanno modo di saperlo.
Non applicano la forza bruta sul sito stesso, invece lo fanno su password con hash che vengono trapelate durante le violazioni dei dati. Fondamentalmente ogni volta che si sente nelle notizie che il sito Web tal dei tali ha fatto trapelare i dati degli utenti, significa che sono trapelate versioni crittografate delle password. Questi vengono scambiati sul cosiddetto dark web e coloro che hanno le password crittografate proveranno diverse combinazioni di caratteri fino a trovare le password effettive. Questa è fondamentalmente una forza bruta
Bloccare un account è un ottimo modo per fermare gli attacchi di forza bruta. Tuttavia, non tutti i siti lo faranno.
La maggior parte degli attacchi proverrà da persone che si impossesseranno di un database trapelato da un sito Web con la tua password al suo interno, e quindi proveranno il tuo nome utente e password su quel sito Web ma anche su molti altri siti Web popolari.
La buona notizia è che un buon sito Web eseguirà l'hashing della tua password, quindi non puoi semplicemente leggerla dal database. Tuttavia, se l'attaccante ha il database, può utilizzare un attacco di forza bruta per decodificare quegli hash.
Usa sempre una password sicura (20 caratteri casuali o 3 parole). Non riutilizzare mai le password tra i siti web.