一些网站在一系列错误的密码尝试后(例如15分钟)将用户锁定。如果恶意行为者知道这一点,他们是否可以故意每15分钟尝试使用错误的密码登录一次,以防止真实的人登录?这是一个真正的威胁吗?如果是的话,网站如何防范呢?

评论

当我上高中时,经过3-5次不正确的尝试后,NT域将您锁定15-20分钟,用户名基于人们的真实姓名。如果您知道如何输入击键注销(Ctrl-Alt-Del,L,Enter),则可以将某人的帐户锁定在自己的计算机上,在他身后走过去,伸手过去,然后注销他,然后他才能做出反应。

我最喜欢使用的大多数网上银行网站似乎都容易受到此攻击。 3次失败尝试后,该帐户将被永久锁定。您需要去银行并亲自要求重新开张-他们不收取任何费用,但这很麻烦。现在,鉴于这与金融有关,因此有人可能会认为这是可以的。但是,在我使用过的几乎所有银行中,第一行的用户名都是一个数字。恶意者很容易为“ lolz”左右锁定帐户。

@Shaamaan几年前,我遇到了这个问题,但是发现我实际上记错了我的用户名,因此我无意中将其他人拒之门外。

我无意间尝试使用错误的密码登录系统帐户,从而关闭了生产系统。如果要为系统帐户创建帐户锁定策略,请记住一些注意事项。 :)

@Shaamaan还有一个不愿透露姓名的银行,情况甚至更糟,用户是按顺序编号的,因此任何人都可以用一点脚本来锁定整个银行。

#1 楼

登录暴力保护可以通过三种方式实施:


临时锁定 CAPTCHA

我认为,CAPTCHA是最合理的解决方案,可以避免由于帐户锁定而导致暴力破解和拒绝服务的风险。如果您输入错误密码超过三或四次,您可能已经看到验证码出现在Facebook和Gmail的登录页面上。这是一种限制机器人不受暴力侵害并同时避免将用户拒之门外的好方法。手动为用户解锁帐户。另一方面,临时锁定可以阻止暴力破解,但是就像您提到的情况一样,它可以锁定真正的用户。

评论


不要忘记2FA!

–tu-Reinstate Monica-dor duh
17-4-5在23:54

也就是“登录模式”。如果某人始终从同一位置(IP /浏览器ID组合)登录,则应更谨慎地对待该模式之外的登录。此外,具有相同浏览器ID的IP更改应通过其他某种通信方法向用户发出警告。

–tu-Reinstate Monica-dor duh
17年4月5日在23:55

不仅仅是网站-核武器的目的是,如果发射错误的发射代码会摧毁其中的微小碎片,因此必须将其带回中央处理设施进行重建。

–克莱里斯-谨慎乐观-
17年4月6日在7:41

强制性xkcd

– David Starkey
17年4月6日在14:52

@Xenos nuclearweaponarchive.org/Usa/Weapons/Pal.html zh.wikipedia.org/wiki/Permissive_Action_Link#Limited_attempts

–克莱里斯-谨慎乐观-
17年4月6日在18:03

#2 楼

是的,某些网站这样做是为了防止暴力破解或密码猜测攻击。该网站应禁止IP地址访问该网站,而不是禁止该用户。

如果攻击者从一个IP地址跳到另一个IP地址并进行暴力攻击,则在这种情况下,网站可以禁止用户ID并通过电子邮件或其他方式通知被禁止的用户,或者在短时间内禁止用户使用该功能也很有必要。

评论


IPv6中几乎所有终端用户都可以使用几乎无限的IP空间。

–好奇
17年4月5日在20:46

在IPv6中,足以安全地(临时)禁止违规/ 64,而不会影响其他用户。

– Foo酒吧
17年4月5日在21:04

通常,计算机可以毫不费力地使用1.8E19个不同的IPv6地址。

–好奇的男孩
17年4月5日在22:08

是的,但是正如@FooBar指出的那样,您没有禁止单个IPv6地址,而是/ 64网络。

– JFL
17年4月6日在7:49

@KarlBielefeldt阻止整个公司尝试登录一个人的帐户吗?哎呀,那个家伙应该是网络上唯一尝试的那个家伙。

–纤巧
17年4月7日在18:25

#3 楼

其他答复者已经提供了一些有价值的手段,网站可以通过这些手段防止滥用反密码猜测手段将人们拒之门外。这是另一种:IP白名单。 (请注意,攻击者不必自己构建这样的僵尸网络:许多网络骗子将其僵尸网络出租给他们。)攻击可扩展到大量IP地址,另一种方法是尝试限制对以前成功用于登录帐户的IP地址的访问。

当然,仍然需要谨慎需采取的措施:如果攻击者可以访问使用列入白名单的IP地址的设备,则网站应寻求确保这不会使攻击者逃脱暴力检测。另外,由于用户可能具有动态IP地址,或者由于某些其他原因尝试从新IP登录,因此需要一种替代机制,用户可以通过该机制绕过登录阻止,例如:


通过输入验证码(尽管会警告:坚定的攻击者可能会以令人惊讶的低价雇用人员来解决这些问题);
单击电子邮件中的链接(您也想进行一些检查,以防止滥用它来淹没人们的收件箱);或
使用某种两因素身份验证来证明他们是帐户的合法所有者。


#4 楼

是的,之前已经完成了。这可能会导致某些网站出现大问题。 OWASP在阻止蛮力攻击的页面上列出了一些如何解决错误的示例。如此之大,以至于即使是连续的DoS攻击也比帐户入侵更可取。但是,在大多数情况下,帐户锁定不足以阻止暴力攻击。例如,考虑一个拍卖网站,其中有多个竞标者在争夺同一项目。如果拍卖网站强制执行帐户锁定,那么一个竞标者可以在拍卖的最后一刻锁定其他人的账户,从而阻止他们提交任何中标的出价。攻击者可以使用相同的技术来阻止关键的财务交易或电子邮件通信。


#5 楼

是的,这是真正的威胁,在构建蛮力防御时应予以考虑。还已经进行了这类攻击,因此,这还不完全是理论上的。

如今,通常情况下,系统将为锁定的用户提供一些重置帐户的方法,通常通过单独的渠道(邮件,短信等)

#6 楼

是的,有可能。但是使用CAPTCHA可以防止这种情况,如果登录表单具有此功能,则唯一的方法是手动输入错误的密码,这是一个很小的风险。攻击者必须要真的疯度过他的整个一天锁定您的帐户

同时,你应该只表明帐户被锁定,当用户正确输入他的证书,以防止帐户枚举,从不区分当攻击者进入密码错误或用户不存在

评论


呵呵,如果您说只有在找到正确的凭据时它才被锁定,那么它似乎非常脆弱:我可以一直蛮力强迫一个锁定的帐户知道密码,一旦找到,就等它被解锁。

– Xenos
17年4月5日在15:55

您甚至无需揭露该帐户已被锁定-只需向该帐户持有者发送一封电子邮件,并在每次尝试时均使用正常的“错误凭据”消息。

–马修
17年4月5日在15:56

疯狂的攻击者和后门烤面包机。人民,这是一个勇敢的新世界!

–篷
17年4月5日在15:59

@Xenos:仅显示对正确密码的锁定的通常方法是向正确用户显示安全协议已被激活,并且他们必须采取措施。通常,解锁过程的一部分是设置新密码(通过电子邮件有效地重新验证,与“忘记密码”方案相同)-这可以减轻攻击者通过强行获取知识(如果锁定的信息显示在页面上) )。同时,更有可能的情况是,攻击者通过采取无用的操作来放弃或浪费时间进行攻击。

–尼尔·斯莱特(Neil Slater)
17-4-6在11:53



@NeilSlater在我看来,您似乎无法理解服务器无法分辨登录用户是合法用户(告诉“帐户已锁定”的用户)还是设法猜测密码的攻击者。锁定帐户是一个无论您是否使用正确密码都无法登录的帐户。我将在此结束(以避免造成混乱的评论)。请tchat上的人向您解释。

– Xenos
17年4月7日在8:55