¿Cuál es la mejor manera de protegerse contra un ataque de contraseña de fuerza bruta?

No una, pero una combinación de técnicas es una buena forma de prevención confiable de la fuerza bruta:

Implementación a nivel de código:

Algunas verificaciones simples a nivel de código incluyen

¿Alguien ha resuelto el rompecabezas makkhichoose?
Hay un troyano en mi computadora y no tengo un antivirus instalado. ¿Hay alguna forma de evitar que mis datos se eliminen?
¿Existe algún estándar de cifrado superior al AES actualmente? ¿Se puede romper el AES (128,192 y 256 bits)?
¿Cuál es la mejor manera de crear una contraseña que sea fácil de recordar para usted, pero imposible de adivinar, sin importar cuánto sepan de usted?
Con la creciente prevalencia de los productos de Apple, ¿qué tan seguros están los usuarios de Apple de la amenaza del virus?

bloqueos de cuenta después de cierto número de intentos incorrectos (como los utilizados por los bancos).
huella digital del dispositivo y acceso tras la aprobación del dispositivo (seguido de minoristas electrónicos localizados que usan números de teléfono móvil)
Limitación de velocidad basada en IP en páginas de inicio de sesión

CAPTCHA:

Admito que los odio (como un millón de otros), pero CAPTCHA resuelve el problema hasta cierto punto para los piratas informáticos novatos.

InfiSecure (software de protección de Bot):

Una plataforma robusta de protección contra bots proporciona protección contra la fuerza bruta al deshabilitar que los bots cometan fraudes en su sitio web. La ventaja de invertir en una buena plataforma de protección de bots es que no solo protege el sitio web contra ataques de fuerza bruta, sino que también protege al sitio web de todos los demás tipos de fraudes de bots, incluidos el raspado de web, el spam, los abusos de bot y otros.

Usar múltiples formas de bloquear la fuerza bruta es una buena idea, ya que comprometer la cuenta del usuario puede ser un movimiento desastroso para una marca. Para comenzar, asegúrese de que haya una buena cantidad de comprobaciones a nivel de código. Explore la solución de protección contra bots si desea tener protección pagada contra bots en el sitio web.

[ Divulgación completa : soy fundador de InfiSecure, la robusta plataforma de protección contra bots. Mis puntos de vista son una experiencia directa de trabajar con cientos de sitios web que requieren protección bot]

Seguridad informática

¿Qué posibilidades hay de que la autenticación biométrica reemplace el uso de contraseñas en los sitios web?

¿Es Kaspersky Total Security un buen antivirus para Windows 10?

¿La escena "Apertura de la bóveda" al final de la película Richie Rich (1994) cuenta como autenticación de 3 factores?

¿Cuáles son las mejores certificaciones para las pruebas de seguridad?

¿Cuáles son los mejores trabajos de IEEE sobre Cloud Computing para hacer Project?

¿Por qué los analistas tecnológicos nunca son responsables de difundir información incorrecta?

A través de su propia interfaz: use captchas, retrasos forzados y cuentas bloqueadas después de un cierto número de intentos incorrectos.

Si el atacante ha obtenido acceso a su base de datos y está intentando desconectar los hashes fuera de línea: use un algoritmo de hash que sea deliberadamente lento y difícil de acelerar incluso en hardware, como bcrypt. El “MD” en MD5 significa “Message Digest”, y MD5, SHA1 y sus amigos fueron diseñados para tomar grandes cantidades de datos y, por lo tanto, son muy rápidos. Es posible probar miles de millones de permutaciones por segundo en hardware moderno. Por otro lado, bcrypt puede tardar cien milisegundos o más para generar un hash, lo que hace casi imposible romper la fuerza bruta.

Gustav Rydstedt

Desde el punto de vista de la implementación, una buena manera de lograr una protección simple de la fuerza de estrangulamiento / fuerza bruta es mediante el uso de la funcionalidad incr () de memcache. Almacena claves basadas en IP y / o nombres de cuenta y las incrementa en ciertos eventos (inicio de sesión, por ejemplo). Ponga un TTL en la clave para crear datos de series temporales y luego aplique su política en función de los umbrales. Por ejemplo, 10 inicios de sesión en 1 minuto = rechazar intentos durante x minutos, 100 intentos de inicio de sesión en 1 minuto = bloquear la cuenta o intentar desde esa IP. Esta implementación de contador simple también se puede extender para mirar botnet como tráfico con un poco más de trabajo.

Gustav Rydstedt

More Interesting

He comenzado una nueva compañía de seguridad y me resulta difícil adquirir negocios. ¿Cómo obtienen contratos y trabajan las empresas de seguridad?

¿Vale la pena gastar el dinero extra en un certificado de barra verde de validación extendida SSL (EV)?

Como DBA de Oracle, ¿qué medidas de seguridad de la información se deben tomar para reducir el riesgo de seguridad de la información?

¿Qué es el virus de prueba de mono?

¿No podrían los sitios web aumentar exponencialmente la seguridad al limitar la cantidad de contraseñas por minuto?

¿Cómo pasó desapercibido Heartbleed durante tanto tiempo?

¿Cuál es la mejor manera de detectar rootkits?

¿Por qué el Servicio Secreto de los Estados Unidos investiga la violación de datos de Target y no, por ejemplo, el FBI?

¿Es AES256 más seguro que AES128? Cual es la diferencia?

Supongamos que grabo un video desde mi teléfono, después de eso, el video que grabé, lo borré después de 10 minutos, ¿es posible que los hackers puedan acceder a él?