El mango podría ser:
1- protege tu contraseña de una grieta de fuerza bruta para acceder a tu cuenta. Respondió arriba.
2- protege tu sistema para que los ataques de fuerza bruta no tengan éxito
- ¿Puedo instalar Norton Internet Security y ESET Smart Security en mi computadora portátil?
- ¿Por qué hay puestos de control de seguridad en Cisjordania?
- Si alguien piratea Mint, ¿cómo pueden abusar de los datos de los clientes?
- ¿Cómo funciona un profesional de ciberseguridad?
- ¿Por qué IdenTrust cruzó el certificado raíz de Let's Encrypt? ¿Esto no mata sus negocios?
3- detecta cuando se ejecutan ataques de fuerza bruta contra tu cuenta o sistema.
Para el n. ° 2, su sistema estaría protegido por algunos, todos o más de lo siguiente: requiere contraseñas largas y complejas (vea la respuesta anterior) para forzar mucho tiempo a descifrar, luego requiera que cada intento fallido use como 3 a 5 segundos antes el sistema reconoce el intento fallido (aumenta el tiempo de ataque), luego requiere que después de 3 intentos fallidos la cuenta esté bloqueada durante al menos 15 minutos (aumenta el tiempo de ataque), luego requiere cambiar la contraseña cada 6 meses (agregando aleatoriedad y limitando la duración cuando una sola fuerza bruta debe probar todas las combinaciones) y no permitir que se reciclen las contraseñas anteriores (nuevamente disminuye la ventana de oportunidad de fuerza bruta). Esto cierra o cambia las contraseñas de las cuentas antes de que los métodos de fuerza bruta puedan superar la mitad del número de combinaciones posibles.
Para el n. ° 3, asegúrese de registrar intentos de inicio de sesión fallidos y de tener algún procesamiento que monitoree esos registros para detectar un número inusual de fallas en una cuenta. Cuando se detecta, bloquea la cuenta.
Además: cuando falla el inicio de sesión, simplemente diga “inicio de sesión fallido” en lugar de la razón. Conozco un sistema (incluso hoy, 4 años después de haberles informado sobre esta vulnerabilidad), un inicio de sesión fallido dirá “Inicio de sesión fallido, no existe ese usuario”, pero si tiene un usuario válido, el mensaje dice “Inicio de sesión fallido, contraseña no válida” Esto significa que alguien primero puede forzar un nombre de usuario y luego trabajar con la contraseña.
Por último, proteja sus contraseñas hash porque si las pierde, el ataque de fuerza bruta se puede trabajar sin conexión. Esto puede hacerse más difícil a través de otros métodos. Una vez más, solía conocer un ISP que mantenía el archivo passwd de Unix visible para todos y no usaba shadow para ocultar los valores de contraseña hash; cualquier usuario podría tomar el conjunto de todos los usuarios y las contraseñas hash asociadas.
Como puede ver, puede ser difícil de detener, pero es fácil para un usuario facilitar el trabajo de un ataque de fuerza bruta.
