在大西洋的文章“被黑了! ”它说:
当我妻子第一次选择用于 Gmail 时,她的密码被判定为“强”。但它是两个简短的英文单词和数字的组合,所以如果它没有从其他网站泄漏,它可能只是在暴力攻击中被猜到了。由于此处无法解释的复杂原因,即使是某些系统(例如 Gmail 的系统)不允许入侵者对密码进行数百万次随机猜测,但仍然容易受到暴力攻击。
作者指的是什么漏洞?
Gmail 如何容易受到暴力攻击?
信息安全
密码
蛮力
邮箱
2021-08-25 12:32:46
3个回答
首先,该文章滥用了术语。
无论他们指的是什么漏洞,这似乎都不是“蛮力”,因为这与那句话的前提相矛盾。正如另一个答案所暗示的那样,可能采用了某种形式的社会工程学,但在这种情况下,任何一轮“猜测”都不会是蛮力,而是会巧妙地利用已知的数据点。
此外,它错误地识别了最可能的安全故障。
在本文中描述的情况下,更有可能的是另一个站点上的数据库受到破坏。这篇文章在说“如果它没有从其他网站泄露”时特别允许这样做,这意味着他的妻子没有在每个网站上使用唯一的密码。如果您不使用唯一密码1那么所有的赌注都没有了2如果您的 Gmail 帐户遭到入侵,您不能责怪 Google 3您所有的东西都只与您使用的最弱站点一样安全——这是一种最小公分母方法一定会给您带来麻烦,因为对于任何给定的网站集,几乎可以保证其中一个网站处理了用户数据错误!
1. 你应该。句号。
2.除了(但不能代替)使用唯一密码之外,启用双因素身份验证也可以缓解这种攻击向量。
3. 再次注意这里的术语问题。被入侵的帐户(如我的用法)与被黑的帐户(如本文的用法)不同。在最有可能的情况下,Gmail 帐户没有被黑客入侵——谷歌的任何安全措施都没有失败——攻击者只能使用他们从其他地方窃取的密码登录。
在该段之上,它说:
也有可能,我妻子的密码只是“猜测”出来的,尽管与外行人可能假设的方式不同。与“蛮力攻击”相比,猜测更少涉及社会工程——尝试你的生日、你的家乡或你亲戚的名字。
这很可能是他所指的。
换句话说,尽管按照大多数量化标准,它是一个强密码,但它实际上是由两个容易猜到的单词和一个数字组成的。攻击者可能只需要尝试几十种家乡、出生日期、宠物名称等的组合来猜测密码。
确实,除蛮力之外的攻击可能被错误标记为蛮力,或者作者正在谈论对假设从谷歌窃取的散列密码进行暴力破解(您非常希望他们会披露如果发生这种情况并强制更改密码)。
然而,从表面上看,这是真的吗:
由于此处无法解释的复杂原因,即使是某些系统(例如 Gmail 的系统)不允许入侵者对密码进行数百万次随机猜测,但仍然容易受到暴力攻击。
答案是微弱的,是的,他们可以,但这不是一个特别富有成效的攻击线。这与“不允许入侵者进行数百万次随机猜测”的实际实现方式有关。
如果您从单个 IP 地址进行太多失败的登录尝试,Google 将(我假设)阻止您。但是,如果登录尝试失败次数过多,它会锁定帐户吗?自动取款机就是这样做的,如果您输入错 3 次 PIN 码,它们就会吃掉您的卡。但是为了进行尝试,您必须拥有卡本身,所以唯一可以做到这一点的人是您或拿走您的卡的人[*]。
如果 Google在世界任何地方的3 次登录尝试失败后锁定您的帐户,那么有人可能会对 Google 帐户进行一次微不足道的(尽管通常不是毁灭性的)DoS 攻击:只是故意进行很多失败的登录尝试。任何知道您的帐户名称的人都可以做到这一点,没有物理令牌作为第二个因素。成千上万的人需要经历使用电话号码或备用电子邮件地址解锁帐户的繁琐和不便,或者他们可能由于没有注册最新的第二因素而完全丢失帐户。这还没有发生,所以让谷歌锁定某人的帐户并不是那么容易。
我不知道谷歌实际上对锁定似乎受到攻击的帐户做了什么,但是像 GMail 这样的系统在锁定帐户之前可能会容忍很多废话,这当然是合理的。
所以,给自己一个拥有几百万个 IP 地址的僵尸网络,如果你真的想的话,你可以进行相对缓慢的蛮力攻击。您必须同时处理的帐户越多,您对每个帐户的尝试就越少,每个帐户被锁定的可能性就越小。只是不要每天从每个 IP 地址进行太多尝试。
至于作者的妻子是否真的发生了这样的事,我对此表示怀疑。世界级的僵尸网络并不是一个很好的用途。但是对于一个相当弱的密码,两个常见的英语单词后跟(比如说)一个三位数的数字,如果有人选择应用一个,那么大规模分布式暴力攻击肯定有可能找到它。但是这个密码并不是攻击者首先针对每个帐户运行的“最常见的一千个”密码,甚至在“两个英文单词和三个数字”开始之前。它远非最容易实现的目标。因此,从这个意义上说,像这样的系统仍然容易受到现场蛮力的攻击,但这并不是真正发生在 AFAIK 的事情。无论如何,我认为它'不被蛮力强迫会自满,但 FUD 连同“这个边距太小而无法包含证明”并不理想;-)
此外,Google 实际上不再允许您从任意 IP 地址登录:我假设的僵尸网络和文章中描述的来自拉各斯的小伙子都应该能够登录,即使他们有密码。相信我,过去我一直被这种情况所困扰,我试图使用我自己的帐户从分散在这个地方的虚拟服务器合法访问 Google 的各种 API,更不用说如果我尝试使用其他人的帐户会发生什么。因此,即使考虑到密码猜测的风险,谷歌也会尽最大努力提高安全性。
[*] 或者克隆你的卡的人,如果你住在那些还没有芯片和密码的第三世界类型的地方之一。但是,如果您在这些地方克隆了某人的信用卡,那么您可以用它做更多有趣的事情,而不是恶作剧地阻止它。
其它你可能感兴趣的问题