it-swarm.com.de

Wie ist Google Mail anfällig für Brute-Force-Angriffe?

In dem atlantischen Artikel " gehackt! " heißt es:

Das Passwort meiner Frau wurde als "stark" eingestuft, als sie es zum ersten Mal für die Verwendung mit Google Mail auswählte. Aber es war eine Kombination aus zwei kurzen englischen Wörtern, gefolgt von Zahlen. Wenn es also nicht von einer anderen Stelle durchgesickert wäre, wäre es möglicherweise nur bei einem Brute-Force-Angriff erraten worden. Aus Gründen, die zu komplex sind, um hier erklärt zu werden, können selbst einige Systeme wie Google Mail, die es Eindringlingen nicht erlauben, Millionen zufälliger Vermutungen an einem Kennwort anzustellen, anfällig für Brute-Force-Angriffe sein.

Auf welche Sicherheitslücke bezieht sich der Autor?

21
Mr. Bultitude

Für den Anfang missbraucht dieser Artikel die Terminologie.

Unabhängig von der Verwundbarkeit, auf die sie sich beziehen, scheint es ziemlich offensichtlich, dass es sich nicht um "rohe Gewalt" handelt, da dies der Prämisse dieses Satzes widersprechen würde. Als eine andere Antwort schlug vor ist es möglich, dass irgendeine Form von Social Engineering eingesetzt wurde, aber in diesem Fall wären alle verbleibenden "Raten" -Runden überhaupt keine rohe Gewalt, sondern würden bekannte Datenpunkte geschickt nutzen.

Außerdem wird der wahrscheinlichste Sicherheitsfehler falsch identifiziert.

Insgesamt ist in dem im Artikel beschriebenen Fall eine kompromittierte Datenbank wahrscheinlicher auf einer anderen Site. In dem Artikel wird dies ausdrücklich berücksichtigt, wenn "wenn es nicht von einer anderen Website ausgelaufen ist" steht, was bedeutet, dass seine Frau keine eindeutigen Kennwörter pro Website verwendet. Wenn Sie keine eindeutigen Passwörter verwenden1 dann sind alle Wetten geschlossen2 und Sie können Google keine Vorwürfe machen, wenn Ihr Google Mail-Konto kompromittiert ist3 dass all Ihre Inhalte nur so sicher sind wie die schwächste Site, die Sie verwenden - ein Ansatz mit dem kleinsten gemeinsamen Nenner, der Sie in Schwierigkeiten bringen wird, da für eine bestimmte Gruppe von Sites fast garantiert ist, dass eine von ihnen Benutzerdaten falsch behandelt hat!

1. Das solltest du. Punkt.

2. Wenn Sie zusätzlich zu (jedoch nicht anstelle von) eindeutige Kennwörter verwenden, wird durch Aktivieren der Zwei-Faktor-Authentifizierung auch dieser Angriffsvektor abgeschwächt.

3. Beachten Sie hier erneut das Terminologieproblem. Ein kompromittiertes Konto (wie in meiner Verwendung) unterscheidet sich von einem gehackten Konto (wie in der Verwendung des Artikels). Im wahrscheinlichsten Fall wurde das Google Mail-Konto nicht gehackt - keine Sicherheitsmaßnahme bei Google ist fehlgeschlagen - der Angreifer konnte sich lediglich mit dem Kennwort anmelden, das er von einem anderen Ort gehackt hatte.

32
Caleb

Über diesem Absatz steht:

Es ist auch möglich, dass das Passwort meiner Frau einfach "erraten" wurde, wenn auch anders als von Laien angenommen. Weniger zu raten erfordert Social Engineering - versuchen Sie Ihren Geburtstag, Ihre Heimatstadt oder die Namen Ihrer Verwandten - als „Brute-Force-Angriffe“.

Welches ist höchstwahrscheinlich, worauf er sich bezog.

Mit anderen Worten, obwohl es nach den meisten quantitativen Maßstäben ein sicheres Passwort ist, besteht es tatsächlich aus zwei leicht zu erratenden Wörtern und einer Zahl. Ein Angreifer muss möglicherweise nur ein paar Dutzend Kombinationen aus Heimatstadt, Geburtsdatum, Haustiernamen usw. ausprobieren, um das Passwort zu erraten.

4
thexacre

Es ist wahr, dass andere Angriffe als Brute Force falsch beschriftet sein könnten oder dass der Autor über Brute-Forcing gegen ein gehashtes Passwort spricht, das hypothetisch von Google gestohlen wurde (Sie würden sehr viel hoffen, dass sie ' d offenlegen, ob dies geschehen ist, und Kennwortänderungen erzwingen).

Wenn man die Forderung jedoch zum Nennwert nimmt, ist es wahr, dass:

Aus Gründen, die zu komplex sind, um sie hier zu erklären, können selbst einige Systeme wie Google Mail, die es Eindringlingen nicht erlauben, Millionen zufälliger Vermutungen an einem Kennwort anzustellen, anfällig für Brute-Force-Angriffe sein.

Die Antwort ist ein schwaches Ja, aber es ist keine besonders fruchtbare Angriffslinie. Dies hängt damit zusammen, wie "Eindringlingen nicht erlauben, Millionen von zufälligen Vermutungen anzustellen" tatsächlich implementiert wird.

Google blockiert Sie (ich nehme an), wenn Sie zu viele fehlgeschlagene Anmeldeversuche von einer einzelnen IP-Adresse aus durchführen. Aber wird ein Konto gesperrt, wenn zu viele fehlgeschlagene Anmeldeversuche durchgeführt werden? Geldautomaten tun dies, sie essen Ihre Karte, wenn Sie dreimal die PIN falsch) erhalten. Aber um den Versuch überhaupt zu machen, müssen Sie die Karte selbst haben, also die einzigen Personen, die dies tun können sind Sie oder jemand, der Ihre Karte genommen hat [*].

Wenn Google Ihr Konto nach drei fehlgeschlagenen Anmeldeversuchen sperren würde von überall auf der Welt, würde es einen trivialen (wenn auch normalerweise nicht verheerenden) DoS-Angriff geben, den jemand gegen Google-Konten ausführen könnte: nur absichtlich Machen Sie viele fehlgeschlagene Anmeldeversuche. Jeder, der Ihren Kontonamen kennt, kann dies tun. Als zweiten Faktor gibt es kein physisches Token. Tausende oder Millionen von Menschen müssen die Rigamarole und die Unannehmlichkeiten beim Entsperren ihres Kontos mithilfe einer Telefonnummer oder einer Backup-E-Mail-Adresse durchlaufen, oder sie verlieren ihre Konten vollständig, weil kein aktueller zweiter Faktor registriert ist. Dies ist nicht geschehen, daher kann es nicht so einfach sein, Google dazu zu bringen, jemandes Konto zu sperren.

Ich weiß nicht, was Google eigentlich gegen das Sperren von Konten tut, die angegriffen zu werden scheinen, aber es ist sicherlich plausibel, dass ein System wie GMail einiges toleriert viel Unsinn vor dem Sperren des Kontos.

Holen Sie sich also ein Botnetz mit einigen Millionen IP-Adressen, und Sie können einen relativ langsamen Brute-Force-Angriff ausführen, wenn Sie dies wirklich möchten. Je mehr Konten Sie gleichzeitig bearbeiten müssen, desto weniger Versuche machen Sie mit jedem Konto und desto weniger wahrscheinlich ist es, dass jedes Konto gesperrt wird. Machen Sie einfach nicht zu viele Versuche pro Tag von jeder IP-Adresse.

Ich bezweifle, dass es plausibel ist, dass der Frau des Autors wirklich etwas passiert ist. Es ist keine großartige Verwendung eines erstklassigen Botnetzes. Aber für ein ziemlich schwaches Passwort, zwei gebräuchliche englische Wörter, gefolgt von (sagen wir) einer dreistelligen Zahl, ist es sicherlich möglich, dass ein massiv verteilter Brute-Force-Angriff könnte es findet, wenn jemand es wählt einen anwenden. Dieses Passwort gehört jedoch nicht zu den "häufigsten", die ein Angreifer zuerst für jedes Konto ausführen würde, bevor er überhaupt mit "zwei englischen Wörtern und drei Ziffern" beginnt. Es ist weit entfernt von den am niedrigsten hängenden Früchten. In diesem Sinne können Systeme wie dieses immer noch anfällig für eine lebende Brute Force sein, aber es ist keine Sache, die AFAIK wirklich passiert. Auf jeden Fall denke ich, dass es sich lohnt, dass der Autor einen Hinweis zur Vorsicht gibt, dass es selbstgefällig wäre, sich auf ein Passwort dieser Form zu verlassen nicht, aber FUD zusammen mit "dieser Spielraum ist zu klein, um den Beweis zu enthalten "ist nicht ideal ;-)

Außerdem lässt Google Sie nicht mehr von einer beliebigen IP-Adresse aus anmelden: Weder mein hypothetisches Botnetz noch die im Artikel beschriebenen Jungs aus Lagos sollten sich anmelden können, selbst wenn sie das Passwort haben. Glauben Sie mir, ich bin in der Vergangenheit davon gebissen worden, als ich versucht habe, mit meinem eigenen Konto von virtuellen Servern, die über den Ort verstreut sind, legitim auf die verschiedenen APIs von Google zuzugreifen. Egal, was passieren würde, wenn ich versuchen würde, die Konten anderer Personen zu verwenden. Selbst angesichts des Risikos des Erraten von Passwörtern bemüht sich Google um ein weiteres Sicherheitsniveau.


[*] Oder jemand, der Ihre Karte geklont hat, wenn Sie an einem Ort der Dritten Welt leben, an dem Chip und Pin noch nicht vorhanden sind. Aber wenn Sie an diesen Orten jemandes Kreditkarte geklont haben, gibt es viel unterhaltsamere Dinge, die Sie damit tun können, als sie auf schelmische Weise zu blockieren.

3
Steve Jessop