現在、HTTPのブルートフォースパスワード推測攻撃は一般的ですか?
オンラインアカウント(Gmail、Facebook、Instagram)に対するブルートフォース攻撃は本当に起こりますか?パスワードハッシュやDDoSを解読するようなものではなく、ボットネットまたはプロキシを使用した本当のブルートフォース攻撃(たとえば、パスワードの推測)を意味します。
ほとんどの大きなWebアプリケーションは、レート制限などを使用してこれに対して保護されていると思うので、現実的には思えませんが、既知の出版物や統計があるかどうか知りたいのですが。
「ブルートフォース」には特定の意味があるため、「オンラインパスワード推測攻撃」と呼ぶ方が好ましいとは限りません。しかし、はい、それらはまだ起こります、そしてここにあなたのためのいくつかの例の統計があります:
Microsoft :「アイデンティティシステム全体で、毎日1,000万件を超えるクレデンシャル攻撃が検出されています。」
Akamai :「[金融機関]の顧客のログインページに対する攻撃に999,980のIPが関与していた」 1週間で4億2,700万のアカウントがチェックされました。また、817,390のIPがエンターテインメント業界の顧客に対して6千5百万のメールアドレスを使用して3億8800万のログインを試みました。両方の攻撃のソースIPを比較したところ、70%の一致が見つかり、同じ組織が両方の攻撃に関与しているか、または同じボットネットを使用していたことが示唆されました。
Google :「1人の攻撃者が盗んだパスワードを使用して、一度に数週間にわたって毎日、何百万もの異なるGoogleアカウントに侵入しようとするのを見てきました。別のギャングが毎秒100アカウントを超える速度でサインインを試みました。」これは2013年に報告されましたが、彼らはまだ同様の攻撃に直面していると確信しています。
淘宝網 :淘宝網は、2015年10月にオンライン推測攻撃によって数日間攻撃されました。攻撃者は、他のサイトから収集された99Mの資格情報を使用しました。 2,050万件の認証情報が淘宝網のアカウントと一致しました。これは、年間のアクティブな購入者の総数の20分の1でした。 11月まで検出されませんでしたが、アリババは、セキュリティシステムがログイン試行の大部分を発見してブロックしたと語っています。それでも彼らのサイトで約100万ドルの詐欺取引が発生しました。
これらの場合、これらのサイトにはレート制限やその他の適応認証制御が導入されている可能性がありますが、すべてのアカウント乗っ取りの防止には100%効果的ではありません。
逸話的に、はい。 WordPressサイトは常にストレートなパスワード推測攻撃を受ける可能性があります。WordPressはデフォルトでユーザー名の列挙を許可しており、実際のユーザー名を使用してパスワードだけを推測しようとする人はほとんどいませんが、攻撃の大部分はユーザー名とパスワードの両方を推測します。
WordPressハニーポットを2年間実行したところ、多くのパスワード推測攻撃がありました。ほとんどは単一のIPアドレスからのものでしたが、一部は50〜60個のIPアドレスからのものでした。一日に28万もの推測。
私は出版物や包括的な統計の試みさえ知らないので、私が持っているのは逸話だけです。
Captchasは家に割り込み、その日を救います。キャプチャだけではありません。簡単なGmailを作ろうとしていたPDA(Python Dictionary Attacker)基本的に、辞書ファイルからすべての行を読み取り、入力されたメールのすべての単語を試します。
しかし、Gmailにはこの新しい機能(ユーザー設定)があり、「非最新のメールサービス」からの受信または認証さえも許可しないため、それを行うことができませんでした。そして、それはデフォルトでオンになっています。詳しくはこちらをご覧ください: https://support.google.com/accounts/answer/6010255?hl=ja
しかし、それが不可能だという意味ではありません。そうです。もちろん「もの」ではないかもしれませんが、間違いなく「もの」です。才能をまだ明らかにしていない、若い熱意のあるIT愛好家がたくさんいます。それらの1つは、これらのキャプチャの賢明でより正確な回避策を理解するためのものです。それらの1つは、ハッキングできないものをハッキングするものになる可能性さえあります。そして、それらのほとんどは白い帽子、または少なくとも灰色の目標を持っています、そして彼らはあなたがより多くの安全を感じて元気づけることを望んでいるだけです。