悪意のあるアクターは、X分ごとに意図的に誤ったパスワードを試行することにより、実際のユーザーをロックアウトできますか？

はい、ブルートフォース攻撃やパスワード推測攻撃を防ぐために、一部のWebサイトはそのようにしています。ユーザーを禁止する代わりに、WebサイトはIPアドレスがWebサイトにアクセスすることを禁止する必要があります。

攻撃者が1つのIPアドレスから別のIPアドレスにホッピングしてブルートフォース攻撃を行っている場合、その場合、WebサイトはユーザーIDを禁止し、禁止されたユーザーに電子メールまたはその他の方法で通知するか、短時間ユーザーを禁止することができます。時間の必要も行います。

はい、それは以前に行われました。これは、特定のWebサイトで大きな問題を引き起こす可能性があります。 OWASPは ブルートフォース攻撃のブロックに関するページ ...

アカウントロックアウトは効果的である場合がありますが、制御された環境、またはリスクが非常に高く、継続的なDoS攻撃でさえアカウントの侵害に適している場合のみです。ただし、ほとんどの場合、ブルートフォース攻撃を阻止するにはアカウントロックアウトでは不十分です。たとえば、複数の入札者が同じアイテムをめぐって争っているオークションサイトを考えてみましょう。オークションWebサイトがアカウントのロックアウトを実施した場合、1人の入札者がオークションの最後に他のユーザーのアカウントをロックし、落札を送信できないようにすることができます。攻撃者は同じ手法を使用して、重要な金融取引や電子メール通信をブロックする可能性があります。

他の回答者は、ウェブサイトが人々を締め出すためのパスワード推測手段の悪用を防ぐことができるいくつかの貴重な手段をすでに提供しています。これは別のものです：IPホワイトリスト。

@Skynetはすでにブラックリスト化を提案していますが、攻撃者がボットネットを構築できるようになった現在 100万台をはるかに超えるサイズのデバイス であり、機知に富んだ攻撃者にはあまり効果的ではない可能性があります。 （攻撃者が自分でそのようなボットネットを構築する必要はないことに注意してください。多くのサイバー詐欺師がボットへのアクセスを貸し出しています。）

したがって、ブラックリストに登録することで、それほど強力でない攻撃者に対する防御を提供できますが、攻撃が多数のIPアドレスに拡大する場合、代わりに、以前にアカウントに正常にログインするために使用されたIPアドレスへのアクセスを制限することを試みます。 。

もちろん、注意が必要です。攻撃者がホワイトリストに登録されたIPアドレスを使用するデバイスにアクセスできる場合、Webサイトは、攻撃者がブルートフォースの検出を回避できないように注意する必要があります。また、ユーザーが 動的IPアドレス を持っているか、または他の理由で新しいIPからログインしようとしている可能性があるため、ユーザーがログインブロックをバイパスできる別のメカニズムが必要です。 ：

• CAPTCHAを入力することにより（警告さ​​れます：断固とした攻撃者 人を雇う可能性があります これらを驚くほど低価格で解決します）;
• 電子メールのリンクをクリックする（これが悪用されて人々の受信トレイが氾濫するのを防ぐために、いくつかのチェックを組み込む必要もあります）。または
• 何らかの 2要素認証 を使用して、それらがアカウントの正当な所有者であることを証明します。

はい、これは本当の脅威であり、ブルートフォース防御を構築するときに考慮されます。これらの種類の攻撃も行われているため、純粋に理論的なものではありません。

通常、最近のシステムでは、通常、別のチャネル（メール、SMSなど）を介して、ロックアウトされたユーザーにアカウントをリセットする手段を提供します。