パスワードの複雑さの要件がわかっている場合のWebログインでの倫理的な総当たりデモ

それは、実装する複雑さの要件と、そこからくるベースラインに依存します。既存のパスワードがbaseballおよびpassw0rdおよび123456の場合、anythingが改善されます。

ただし、easy複雑さをテストする方法は、特定のクラス（たとえば、大文字、小文字、数字、記号）のそれぞれから使用されている文字数を確認することです）。プログラミングは簡単ですが、パスワードの品質を評価するのにも非常に不十分です。

JavaScriptライブラリ zxcvbn は、Dropboxによって設計され、パスワードをクラックするときに実際に重要な要素に基づいて、パスワードの品質をより現実的に推定します。方法と方法については、彼らの記事 ここのブログ をご覧ください。

基本的な要点は次のとおりです。

• 一般的なパスワードは本当に悪いものであり、構成に関係なく失敗します
• 長いパスワードは短いパスワードよりも優れています
• 文字セットの幅が広いほど、文字が1つ増えるごとに利点が増えます
• 既知の辞書の単語は、文字の合計ではなく、辞書のコンポーネントとしてスコアリングされます

パスワードの複雑さの要件は事実です 可能な検索スペースを減らしてください これがまさにあなたが探しているものかどうかはわかりません。

小文字、大文字、数字、または記号の組み合わせが必要な場合に、より予測可能な選択肢（ "Password1"など）を使用するように一部の人々の習慣を参照している可能性があります。パスワードの複雑さを実装しても一部の弱いパスワードの使用が妨げられるわけではないことは事実ですが、最悪のワースト（「パスワード」や「123456」など）は排除されます。しかし、複雑さをオンにすること自体が不十分なパスワードの解決策ではないというのは正しいことです。

誰かがOWAを介してブルートフォースでパスワードを強制しているという証拠がある場合、試行と成功のログは、パスワードの複雑さが十分に効果的でないことを示すのに十分なはずです。この攻撃の実際のデモが彼らの意見を揺さぶるのにはるかに役立つとは思いません。そして、あなたが失敗した場合、それは実際には何も悪いことではないという彼らの信念を強めるかもしれません。

同僚の従業員のパスワード選択における一般的な弱点を強調することが目的である場合は、オンラインの総当たりではなく、パスワードの解読/分析をお勧めします。これは、より短いパスワードでより弱いパスワードを生成し、広範囲にわたるパスワードの問題を強調するのに役立ちます。

BurpsuiteまたはOWASP ZAPを使用してこのテストを実行できますが、この問題が発生することはありません。

特定のユーザー名/ IP /などに対して行うことができるパスワード推測の数を制限することを検討してください。ロックアウトが発生する前。

これは、適切なパスワードポリシーに加えて、アカウントを取得する攻撃者の能力を大幅に制限します。

ブルートフォースに対処するには、古いトリックを使用できます。ログインに失敗した場合はスレッドを使用してそれらをスリープ状態（thread.sleep）にし、失敗したログインごとにスリープ時間を延長するか、それを2倍にします。基本的に、攻撃者はより多くの待機時間を得ようとします。