web-dev-qa-db-ja.com

悪意のあるアクターは、X分ごとに意図的に誤ったパスワードを試行することにより、実際のユーザーをロックアウトできますか?

一部のWebサイトは、たとえば15分間、一連の不正なパスワードの試行後にユーザーをロックアウトします。悪意のある俳優がこれを知っている場合、実際の人がログインできないように、15分ごとに意図的に不正なパスワードを使用してログインを試みることができますか?これは本当の脅威ですか、もしそうなら、ウェブサイトはそれをどのように防ぐことができますか?

69
yeti

ログインのブルートフォース保護は、次の3つの方法で実施できます。

  • 一時的なロックアウト
  • 永久ロックアウト
  • CAPTCHA

私の見解では、CAPTCHAはブルートフォースのリスクとアカウントロックアウトによるサービス拒否のリスクを回避するための最も合理的なソリューションです。間違ったパスワードを3〜4回以上入力した場合、FacebookおよびGmailのログインページにキャプチャが表示されるのを見たことがあるかもしれません。これは、ボットのブルートフォースを制限し、同時にユーザーのロックアウトを回避するための適切な方法です。

永続的なロックアウトは新しいソリューションではありません。ユーザーのアカウントを手動でロック解除する必要がある場合、カスタマーサポートチームに多くの運用上のオーバーヘッドを追加します。一方、一時的なロックアウトはブルートフォーシングを阻止しますが、前述のシナリオのように、本物のユーザーをロックアウトする可能性があります。

57
hax

はい、ブルートフォース攻撃やパスワード推測攻撃を防ぐために、一部のWebサイトはそのようにしています。ユーザーを禁止する代わりに、WebサイトはIPアドレスがWebサイトにアクセスすることを禁止する必要があります。

攻撃者が1つのIPアドレスから別のIPアドレスにホッピングしてブルートフォース攻撃を行っている場合、その場合、WebサイトはユーザーIDを禁止し、禁止されたユーザーに電子メールまたはその他の方法で通知するか、短時間ユーザーを禁止することができます。時間の必要も行います。

25
Skynet

はい、それは以前に行われました。これは、特定のWebサイトで大きな問題を引き起こす可能性があります。 OWASPは ブルートフォース攻撃のブロックに関するページ ...

アカウントロックアウトは効果的である場合がありますが、制御された環境、またはリスクが非常に高く、継続的なDoS攻撃でさえアカウントの侵害に適している場合のみです。ただし、ほとんどの場合、ブルートフォース攻撃を阻止するにはアカウントロックアウトでは不十分です。たとえば、複数の入札者が同じアイテムをめぐって争っているオークションサイトを考えてみましょう。オークションWebサイトがアカウントのロックアウトを実施した場合、1人の入札者がオークションの最後に他のユーザーのアカウントをロックし、落札を送信できないようにすることができます。攻撃者は同じ手法を使用して、重要な金融取引や電子メール通信をブロックする可能性があります。

5
Alesana

他の回答者は、ウェブサイトが人々を締め出すためのパスワード推測手段の悪用を防ぐことができるいくつかの貴重な手段をすでに提供しています。これは別のものです:IPホワイトリスト。

@Skynetはすでにブラックリスト化を提案していますが、攻撃者がボットネットを構築できるようになった現在 100万台をはるかに超えるサイズのデバイス であり、機知に富んだ攻撃者にはあまり効果的ではない可能性があります。 (攻撃者が自分でそのようなボットネットを構築する必要はないことに注意してください。多くのサイバー詐欺師がボットへのアクセスを貸し出しています。)

したがって、ブラックリストに登録することで、それほど強力でない攻撃者に対する防御を提供できますが、攻撃が多数のIPアドレスに拡大する場合、代わりに、以前にアカウントに正常にログインするために使用されたIPアドレスへのアクセスを制限することを試みます。 。

もちろん、注意が必要です。攻撃者がホワイトリストに登録されたIPアドレスを使用するデバイスにアクセスできる場合、Webサイトは、攻撃者がブルートフォースの検出を回避できないように注意する必要があります。また、ユーザーが 動的IPアドレス を持っているか、または他の理由で新しいIPからログインしようとしている可能性があるため、ユーザーがログインブロックをバイパスできる別のメカニズムが必要です。 :

  • CAPTCHAを入力することにより(警告さ​​れます:断固とした攻撃者 人を雇う可能性があります これらを驚くほど低価格で解決します);
  • 電子メールのリンクをクリックする(これが悪用されて人々の受信トレイが氾濫するのを防ぐために、いくつかのチェックを組み込む必要もあります)。または
  • 何らかの 2要素認証 を使用して、それらがアカウントの正当な所有者であることを証明します。
5
user2428118

はい、これは本当の脅威であり、ブルートフォース防御を構築するときに考慮されます。これらの種類の攻撃も行われているため、純粋に理論的なものではありません。

通常、最近のシステムでは、通常、別のチャネル(メール、SMSなど)を介して、ロックアウトされたユーザーにアカウントをリセットする手段を提供します。

2
Tom