web-dev-qa-db-ja.com

Gmailはブルートフォース攻撃に対してどのように脆弱ですか?

Atlanticの記事 " Hacked! "には次のように書かれています:

妻のパスワードは、Gmailで使用するために最初に選択したときに「強力」であると判断されました。しかし、それは2つの短い英語の単語とそれに続く数字の組み合わせでした。そのため、他のサイトから漏れていなければ、ブルートフォース攻撃で推測された可能性があります。ここで説明するには複雑すぎる理由により、侵入者がパスワードで何百万ものランダムな推測を行うことを許可しないGmailのような一部のシステムでさえ、ブルートフォース攻撃に対して脆弱である可能性があります。

著者はどのような脆弱性を参照していますか?

21
Mr. Bultitude

まず、その記事は用語を誤用しています

彼らが言及している脆弱性がどんなものであれ、それが「力ずく」ではないことはかなり露骨であり、それがまさにその文の前提と矛盾するからです。 別の回答が示唆されているように 何らかの形のソーシャルエンジニアリングが採用された可能性がありますが、この場合、「推測」の残りのラウンドは、総当たりではなく、既知のデータポイントを巧みに利用します。

さらに、最も可能性の高いセキュリティ障害を誤認します。

記事に記載されているケースでは、別のサイトのデータベースが侵害されている可能性が高くなります。この記事では、「他のサイトから漏洩しなかった場合」と書いてあり、妻がサイトごとに固有のパスワードを使用していないことを示唆しています。固有のパスワードを使用しない場合1 その後、すべての賭けはオフです2 そして、あなたのGmailアカウントが危険にさらされている場合、あなたはGoogleを責めることはできません すべてのものは、使用する最も弱いサイトと同じくらい安全であることに注意してください。特定の一連のサイトの場合と同様に、ユーザーデータを誤って処理したことがほぼ確実であり、問​​題を引き起こす可能性のある最小公約です。

1.すべきです。フルストップ。

2.一意のパスワードを使用してを追加(代わりにではない)して、2要素認証を有効にすると、この攻撃経路も緩和されます。

3.ここで再び用語の問題に注意してください。 (私の使用法のように)侵害されたアカウントは、(記事の使用法のように)ハッキングされたアカウントとは異なります。最も可能性の高いシナリオでは、Gmailアカウントはハッキングされておらず、Googleでのセキュリティ対策も失敗していませんでした。攻撃者は、どこかからハッキングしたパスワードでログインすることができただけです。

32
Caleb

その段落の上にそれは言う:

妻のパスワードが「推測」された可能性もありますが、一般の人が想定している方法とは異なります。推測する頻度は、「ブルートフォース攻撃」よりも、ソーシャルエンジニアリング(誕生日、出身地、親戚の名前など)に関係しています。

それはおそらく彼が言及していたことです。

つまり、ほとんどの量的基準では強力なパスワードですが、実際には、簡単に推測できる2つの単語と1つの数字で構成されています。攻撃者は、パスワードを推測するために、出身地、DOB、ペットの名前などの組み合わせを数十回試すだけで済みます。

4
thexacre

ブルートフォース以外の攻撃がブルートフォースと誤ってラベル付けされている可能性があること、または作成者がGoogleから仮想的に盗んだハッシュパスワードに対するブルートフォースについて話していることは事実です(あなたは非常に彼らが開示することを望んでいます)その場合は、パスワードを強制的に変更してください)。

しかし、額面通りの主張をすることは、それが真実である:

ここで説明するには複雑すぎる理由で、侵入者がパスワードで何百万ものランダムな推測を行うことを許可しないGmailのような一部のシステムでさえ、ブルートフォース攻撃に対して脆弱である可能性があります。

答えは弱いはい、そうかもしれませんが、それは特に実りある攻撃ラインではありません。それは、「侵入者が何百万ものランダムな推測をすることを許可しない」が実際にどのように実装されているかに関係しています。

単一のIPアドレスからのログイン試行の失敗が多すぎる場合、Googleは(私はそう思います)ブロックします。しかし、失敗したログイン試行が多すぎると、アカウントがロックされますか? ATMはそれを行い、PINを3回間違えた場合にカードを食べます。しかし、試みを行うためには、カード自体を持っている必要があるので、これを行うことができる人だけがあなたまたはあなたのカードを取った人[*]。

ログイン試行が3回失敗した後でGoogleがアカウントをロックした場合世界中のどこからでもだと、誰かがGoogleアカウントに対して行う可能性のある(通常は壊滅的ではありませんが)些細なDoS攻撃があります:意図的にログイン試行の失敗が多い。アカウント名を知っている人なら誰でもこれを行うことができます。2番目の要素として物理的なトークンはありません。数千人または数百万人が電話番号やバックアップ用メールアドレスを使用してアカウントのロックを解除するという不便さと不便さを経験する必要があります。あるいは、最新の第2要素が登録されていないためにアカウントを完全に失う可能性があります。これは起こっていないので、Googleに誰かのアカウントをロックさせることはそれほど簡単なことではありません。

Google 実際にはが攻撃を受けているように見えるアカウントをロックすることについて何をしているのかはわかりませんが、-GMailのようなシステムは以前はかなりのナンセンスを容認していた可能性がありますアカウントをロックします。

そのため、数百万のIPアドレスからなるボットネットを入手してください。本当に必要な場合は、比較的遅いブルートフォース攻撃を行うことができます。同時に作業する必要があるアカウントが多いほど、各アカウントで試行する回数が減り、各アカウントがロックされる可能性が低くなります。各IPアドレスから1日に何度も試行しないでください。

著者の妻に本当に起こったことがもっともらしいかどうかについては、私はそれを疑う。これは、世界クラスのボットネットの優れた使用法ではありません。しかし、かなり弱いパスワード、2つの一般的な英語の単語の後に(たとえば、)3桁の数字が続く場合、誰かが適用することを選択した場合、大規模に分散されたブルートフォース攻撃couldがそれを見つける可能性は確かにあります1。しかし、このパスワードは、「2つの英単語と3桁の数字」で始まる前に、攻撃者が各アカウントに対して最初に実行する「最も一般的な上位1000」には含まれていません。ぶら下がっている果物からはほど遠いです。したがって、その意味では、このようなシステムは依然としてブルートフォースの攻撃に対して脆弱である可能性がありますが、これは実際に発生していることではありません。いずれにせよ、この形式のパスワードに頼るnotの総当たり攻撃に頼るのは無作法であるという警告に耳を傾ける著者の価値があると思いますが、FUDと「このマージンは小さすぎます証拠を含めることは理想的ではありません;-)

さらに、Googleは実際には任意のIPアドレスからのログインを許可していません。私の仮想ボットネットも、記事に記載されているLagosのラッドも、パスワードがあってもログインできないはずです。私を信じて、私は過去にこの場所に散らばった仮想サーバーから自分のアカウントを使用してGoogleのさまざまなAPIに正当にアクセスしようと試みたことがあります。他の人のアカウントを使用しようとするとどうなるか気にしないでください。したがって、パスワードが推測されるリスクがあっても、Googleはセキュリティをさらに強化するために最善を尽くします。


[*]または、チップとピンがまだない第三世界タイプの場所に住んでいる場合、カードを複製した人。しかし、それらの場所で誰かのクレジットカードを複製した場合、悪意を持ってブロックされるよりも、それを使ってできる面白いことがたくさんあります。

3
Steve Jessop