Question:
Pourquoi les sites Web et les appareils n'offrent-ils pas de fausses connexions aux pirates?
Cromulent
2018-06-01 17:49:54 UTC
view on stackexchange narkive permalink

J'y pensais plus tôt ce matin et je me demandais pourquoi les sites Web et les appareils n'offrent pas de faux identifiants pour les pirates? Ce que je veux dire par là, c'est que si un pirate découvre certaines de vos informations et essaie de se connecter à un site Web (par exemple), le site Web montrera que vous vous êtes connecté avec succès mais affichera des données factices qui sont complètement fausses.

De cette façon, le hacker ne saura pas si les informations de connexion sont correctes ou non. Cela protégera également les personnes en situation de sécurité. Par exemple, imaginez qu'un criminel a volé le téléphone de quelqu'un et se rend compte qu'il ne peut pas y accéder. Il pointe ensuite une arme sur le propriétaire qui tape alors une partie de ses détails correctement mais certains d'entre eux de manière incorrecte. L'appareil se déverrouille en mode faux, et le criminel pense alors qu'il y a accès et décide de ne pas tirer sur la personne parce qu'il a respecté ses souhaits. Mais le criminel ne sait jamais que ce qu'il voit n'est qu'une fausse connexion.

Quelqu'un at-il implémenté quelque chose comme ça? Cela me semble être une bonne idée.

1) Pourquoi les propriétaires d'appareils / de sites doivent-ils faire quelque chose?Pourquoi les utilisateurs ne peuvent-ils pas le configurer eux-mêmes?2) Si l'on sait que l'appareil / le site fait cela, les attaquants n'essaieront-ils pas de vérifier qu'ils ont un véritable accès?3) Votre approche ne survit pas au [principe de Kerchoff] (https://en.wikipedia.org/wiki/Kerckhoffs%27s_principle).
Cela ne relèverait-il pas de la "sécurité par l'obscurité" - je pense que cela donnerait aux propriétaires un faux sentiment de sécurité en toute honnêteté.
C'est merdique pour les hackers humains, mais cela peut bien fonctionner pour des robots non sophistiqués.Un site que j'administre utilise de faux formulaires de soumission POST pour attraper les spambots et cela fonctionne plutôt bien.
Si c'est un système connu, alors le criminel se contente de sourire, de charger l'arme et de continuer avec: "Oui, maintenant le vrai" - "C'est vrai!"- "Lier!"* BANG * Et malheureusement, ça l'était.Je ne vois pas quelle sécurité cela donne.
Comment le site Web sait-il que l'utilisateur est un pirate informatique et non l'utilisateur réel?Cela fait-il référence aux cas où un utilisateur (non chinois) se connecte depuis la Chine ou quelque chose du genre?
Et si je saisis simplement mon mot de passe par erreur?Je ne veux pas être connecté en mode faux.Je veux savoir que j'ai mal saisi mon mot de passe.
À quelle fréquence les criminels demandent-ils aux victimes de se connecter à leurs comptes sous la menace d'une arme?Cela ressemble à un cas extrême qui ne ferait que causer une confusion inutile dans le cas général.Je suis beaucoup plus susceptible de mal saisir mon mot de passe (cela arrive plusieurs fois par jour) que d'être retenu (ce n'est pas encore arrivé).
Ceci est un [pot de miel] (https://en.wikipedia.org/wiki/Honeypot_ (informatique))
@SethR: en fait, j'ai entendu parler de cela dans les nouvelles à quelques reprises, donc cela arrive.Je ne pense pas que ce soit pour le vol d'identité, plus pour que le téléphone puisse être réinitialisé et vendu.
@Tom.Bowen89 la manière de contourner ce problème serait une image de sécurité - une icône s'affiche après la connexion, et seul le «vrai» utilisateur sait si c'est le bon.Si je sélectionne l'image d'un chat comme image de sécurité et que je me connecte et que je vois un papillon, je sais que j'ai mal saisi le mot de passe.(Ne pas essayer de présenter un argument en faveur de l'approche du PO en général, mais simplement répondre à votre préoccupation spécifique.)
Cela existe.Ils résolvent le problème exactement comme l'a commenté @dwizum, en fournissant un indice visuel (ou vous mémorisez simplement un mot de passe dans le gestionnaire de mots de passe et le vérifiez).
Comme je le sais, cela est mis en œuvre dans certaines serrures de porte.Il existe deux codes: pour un usage régulier et pour une ouverture forcée, qui ouvrira également la porte mais avertira les gardes / la police.
@SethWhite C'est simple, il vous suffit de vérifier si le mauvais bit est défini https://tools.ietf.org/html/rfc3514
@SethR De toute évidence, vous n'êtes tout simplement pas assez important: P
En fait, cela a été mis en œuvre.ESET anti-vol a créé un deuxième compte Windows sur mon ordinateur.Il est déverrouillé et si un hacker prend l'appât et clique dessus, ESET le prendra en photo, m'en informera et commencera à suivre mon ordinateur.
Connexes: [Est-il possible de rendre les attaques par force brute inefficaces en donnant de fausses réponses positives aux tentatives de connexion infructueuses?] (Https://security.stackexchange.com/questions/129898/is-it-possible-make-brute-force-attaques-inefficaces-en-donnant-faux-positif-ans)
Onze réponses:
Steffen Ullrich
2018-06-01 17:58:39 UTC
view on stackexchange narkive permalink

De cette façon, le pirate informatique ne saura pas si les informations de connexion sont correctes ou non.

Si les informations présentées après la connexion n'ont aucun lien avec la personne qui login devrait être pour, alors la plupart des hackers reconnaîtront rapidement que la connexion n'est probablement pas la vraie.

Mais, pour afficher des informations qui semblent correspondre à l'utilisateur, un effort considérable peut être nécessaire. Il doit également être créé spécifiquement pour chaque utilisateur et afficher de vraies informations sur l'utilisateur afin qu'il ne semble pas faux mais pas trop afin qu'aucune information importante ne soit divulguée.

Vous ne pouvez pas vous attendre à ce que votre fournisseur fasse cela pour vous, mais vous pouvez essayer de le faire vous-même dans de nombreux cas, c'est-à-dire ajouter un autre compte de messagerie, un autre compte Facebook, etc.

En fait, je vois comment cela pourrait être mis en place.Vous n'avez pas de faux identifiant, mais plutôt un identifiant réel mais restreint.Les applications et les données seraient soit ouvertes soit restreintes, si vous étiez dans la connexion sous la contrainte, vous ne verriez que les éléments non marqués comme restreints.
@Loren c'est une bonne idée.La connexion sous contrainte peut inclure des données limitées (peut-être quelques anciens documents) et des applications intentionnellement brisées.Par exemple, la fausse connexion pourrait avoir une application bancaire en ligne qui semble réelle, mais qui plante toujours.Les données mobiles peuvent être restreintes ("Désolé, vous avez utilisé toutes vos données pour ce mois"), et les applications pourraient alors se plaindre du fait qu'elles ne fonctionneront pas tant qu'elles ne pourront pas se connecter à Internet.
@RobertColumbia La tactique serait connue, vous ne pouvez pas utiliser de telles choses.Mais ayez l'application de cuisson sur la liste restreinte - avec le code de contrainte, vous ne la voyez tout simplement pas.Tant que vous utilisez des applications pour les éléments sensibles, même quelqu'un qui sait comment le système fonctionne ne peut pas dire s'il s'agit du code de contrainte ou non autrement qu'en rootant le téléphone.Si vous souhaitez le rendre encore plus sécurisé, il existe deux codes de contrainte - si le second est utilisé, l'ensemble de données sensibles est supprimé.(Utilisez le premier sur le fonctionnaire snoopy, le second s'il est arrêté.)
Ce n'est pas si difficile à réaliser: ** demandez aux utilisateurs ** de le faire eux-mêmes.Par exemple, lorsque vous créez un compte Facebook, FB peut vous inviter à créer votre "profil factice" au cas où vous seriez compromis.Pourtant, je pense que les hackers sauront que c'est faux et, comme c'est une fonctionnalité bien connue de tous ses utilisateurs, cela n'aura aucun effet.
Même lorsque l'accès est accordé à des données manifestement fausses, ces données doivent encore être traitées pour déterminer qu'elles sont fausses, ce qui fait que le pirate prend plus de temps pour accéder aux données réelles.
Ce serait terriblement déroutant pour les utilisateurs.Vous connaissez mieux votre public.
TheWolf
2018-06-01 17:58:55 UTC
view on stackexchange narkive permalink

Le concept que vous décrivez s'appelle Déni plausible et des méthodes pour le fournir ont en effet été implémentées dans certains logiciels, VeraCrypt en étant un exemple.

Un problème avec sa mise en œuvre dans les sites Web, comme vous le suggérez, est qu'il est très difficile pour le développeur du site Web de trouver de fausses données suffisamment réalistes pour tromper un attaquant sans en divulguer aucune données sur l'utilisateur. Dans les logiciels de cryptage comme VeraCrypt, cette tâche est transférée à l'utilisateur, qui est évidemment dans une bien meilleure position pour le faire.

Je ne pense pas que ce soit le déni plausible.Honeypot! = Déni plausible.
@forest: La question est un peu confuse, car elle décrit un pot de miel mais le cas d'utilisation (criminel pointant une arme sur le propriétaire du téléphone) exige un déni plausible.Cette réponse traite du cas d'utilisation.
@BenVoigt ce n'est toujours pas ce qu'est un déni plausible
@Kevin: C'est exactement ce que signifie le terme «déni plausible» dans le contexte des cryptosystèmes.En plus de VeraCrypt que cette réponse a mentionné, voir aussi LUKS, TrueCrypt.
@Kevin en ce qui concerne les systèmes de cryptage, le déni plausible signifie essentiellement que lorsque je suis obligé de fournir un accès au contenu sécurisé par un mot de passe / cryptage, une fois que je donne cet accès (donnez les informations d'identification de mon compte, entrez le mot de passe / la clé de décryptage), je peux prétendre queJ'ai eu accès au contenu que j'ai sécurisé et l'adversaire ne peut raisonnablement pas prouver le contraire.Je peux de manière plausible nier que les données réelles sont toujours cachées derrière une autre clé / information d'identification et que j'ai réellement donné accès aux données réelles (ou à toutes les données disponibles).
@BenVoigt J'ai appris quelque chose de nouveau.Je ne savais pas que ce terme était utilisé de cette façon en cryptographie.
Siguza
2018-06-02 09:07:44 UTC
view on stackexchange narkive permalink

Parce que les pirates n'attaquent pas les formulaires de connexion

Le défaut est que vous supposez que les pirates pénètrent dans les comptes en forçant brutalement les informations d'identification contre les services distants. Mais c'est futile de toute façon.

Tout site Web avec une sécurité décente (ceux sans une sécurité décente ne se soucieraient pas non plus de votre idée) aura une limite imposée au nombre de tentatives de connexion infructueuses peut être effectuée dans un certain laps de temps par adresse IP, généralement quelque chose comme 5 tentatives infructueuses toutes les 6 heures. Si la sécurité est un peu plus forte, les comptes peuvent également avoir besoin d'une action de la part du propriétaire après un certain nombre de tentatives infructueuses, et / ou le propriétaire peut être informé des tentatives de connexion infructueuses ou même de toutes les connexions à partir de nouveaux appareils.

Donc alors que les attaques par force brute peuvent très bien être possibles contre des données simples (telles que les hachages de mots de passe exposés lors d'une violation), elles sont loin d'être réalisables contre un service avec même un peu de sécurité.

Pour les attaquants, c'est donc beaucoup plus facile de faire du phishing, ou mieux encore de mettre en place un véritable service gratuit eux-mêmes et de travailler sur l'hypothèse de la réutilisation du mot de passe:

Oui!C'est pourquoi, surtout pour vos autres mots de passe, quel que soit votre système de mot de passe, votre mot de passe de messagerie doit TOUJOURS être unique.
Et toujours pas même avec un compte d'un obscur forum phpBB de 2001. Ou une application Android qui demande un nom d'utilisateur / mot de passe même si vous l'avez utilisé pendant 5 minutes.Ou un vieux traker de torrent.Surtout avec les applications Android lorsqu'une application peut demander le courrier de tous les comptes de l'appareil, puis vérifier avec le mot de passe utilisé.
Sam
2018-06-02 02:45:20 UTC
view on stackexchange narkive permalink

Je n'ai jamais entendu parler d'un service ou d'un appareil implémentant cela non plus.

Le cas où un attaquant est présent et vous oblige à vous connecter est assez improbable. Ils sont plus susceptibles de simplement prendre votre iPhone à 1000 $ et de courir.

Cependant, il est très plausible que cela se produise si «l'attaquant» est un agent de sécurité / TSA à un point de contrôle de sécurité d'un aéroport. Surtout si vous êtes dans un pays étranger. (Il y a quelques années, il y a eu une présentation PHENOMENAL Defcon sur ce sujet.)

Sites Web

Cela n'aurait probablement pas beaucoup de sens de l'implémenter sur un site Web. Si vous (l'administrateur) êtes certain qu'une personne qui tente d'accéder à un compte est un pirate informatique, bloquez-la / verrouillez le compte. Problème résolu.

Si l'attaquant tente d'accéder à plusieurs comptes, il saura probablement que quelque chose est louche s'il parvient à se connecter "avec succès" à plusieurs comptes lors du premier ou du deuxième essai.

Téléphones

Bien que les téléphones n'autorisent pas les fausses connexions (?), mais vous pouvez les verrouiller après que le mot de passe n'a pas été saisi correctement n fois.

L'attaquant / agent TSA vous demande de déverrouiller le téléphone. Vous avez intentionnellement entré un mot de passe incorrect lors du premier essai.

"Oh, oups, un mot de passe incorrect ..."

Vous entrez à nouveau le mauvais mot de passe au deuxième essai.

"Désolé, j'ai les mains moites quand je suis nerveux ..."

Vous avez entré un mot de passe incorrect au troisième essai. Le téléphone est maintenant verrouillé pendant 30 minutes!

Cela ne fonctionnera bien sûr pas si vous récitez le mot de passe à l'attaquant et qu'il le saisit dans le téléphone. Et je pense que la plupart des verrouillages de téléphone ne durent que 30 minutes (?), Période pendant laquelle l'attaquant / l'agent TSA fera de son mieux pour vous "convaincre" de vous souvenir du mot de passe dans une arrière-salle.

Ordinateurs portables

Votre suggestion serait relativement simple à mettre en œuvre sur un ordinateur portable ...

Créez au moins 2 profils utilisateur.

Le premier profil que vous nommez après vous-même (prénom et nom). Vous définissez une photo de vous-même comme photo de profil. Ce sera votre "faux" compte. Définissez le mot de passe comme quelque chose de simple et facile à retenir. Mettez des "trucs personnels" dans le compte (musique, photos de votre animal, documents "de travail", etc.).

Le deuxième compte, vous donnez un nom générique de membre de la famille ("mari", "les enfants "," miel ", etc.). Conservez la photo de profil par défaut. Définissez un mot de passe fort. Ce sera le compte avec des privilèges d'administrateur sur l'ordinateur portable, et le compte que vous utiliserez pour votre travail important / confidentiel.

Imaginez maintenant un scénario dans lequel vous êtes obligé de vous connecter ...

Vous êtes dans un aéroport d'Océanie, sur le point de rentrer chez vous en Eurasie. La sécurité de l'aéroport vous arrête sur votre chemin à travers le terminal.

Sécurité: "Donnez-nous votre passeport et votre ordinateur portable!"

Vous leur donnez l'ordinateur portable et le passeport. Ils allument un ordinateur portable et essaient de se connecter au compte que vous avez nommé d'après vous-même. En voyant qu'ils ont besoin d'un mot de passe, ils vous demandent de leur dire le mot de passe.

Vous: "Le mot de passe est opensea . Pas d'espace."

L'aéroport security entrez le mot de passe et entrez avec succès votre faux compte.

Après avoir cherché pendant quelques minutes sans rien trouver qui l'intéresse, ils se déconnectent et essaient de se connecter à votre vrai compte.

Sécurité: "À qui appartient ce compte? Quel est le mot de passe?"

Vous: "C'est le compte de mes enfants. Le mot de passe est 123dogs ."

Ils entrent le mot de passe, mais ne parviennent pas à se connecter.

Sécurité: "Ce mot de passe est faux! Dites-nous le mot de passe correct!"

Vous vous sentez surpris et demandez eux pour vous donner l'ordinateur portable afin que vous puissiez essayer de vous connecter. Ils vous donnent l'ordinateur portable et vous commencez à taper de faux mots de passe.

Vous: "Ces maudits enfants, je leur ai dit de NE PAS changer le mot de passe! Je suis désolé, ils n'étaient censés utiliser que ce compte pour leurs jeux vidéo stupides! "

La sécurité de l'aéroport se concerte, puis vous laisse continuer votre chemin. Vous rentrez en Eurasie en toute sécurité sans que les informations confidentielles de votre ordinateur portable ne soient compromises.

La sécurité des aéroports d'Océanie vous permettra-t-elle même de voler vers l'Eurasie?Je pensais que l'Océanie avait toujours été en guerre contre l'Eurasie.
Les gens continuent de concevoir des moyens techniques de plus en plus intelligents pour contrer une demande potentielle de déverrouillage d'un téléphone / ordinateur portable / support de données lors d'une inspection à la frontière / à l'aéroport, mais je ne vois pas en quoi cela peut aider.Vous pourriez tout aussi bien refuser catégoriquement de leur donner votre mot de passe.Vous pourriez vous retrouver en détention ou se voir refuser l'entrée, mais cela pourrait également se produire si vous essayez délibérément de verrouiller votre téléphone et de jouer à l'idiot ne vous aidera pas.La vraie solution est d'éviter de prendre des matériaux sensibles par-dessus la frontière.
VeraCrypt est un exemple de programme qui l'implémente - vous pouvez configurer un mot de passe alternatif qui ne découvrira qu'une fausse partie des données
Dans la vraie vie, il est cependant beaucoup plus probable qu'au lieu de «vous laisser aller sur votre chemin», ils confisqueront l'équipement et le donneront à leurs analystes médico-légaux, vous détiendront et vous placeront définitivement sur la liste des «terroristes potentiels».[Ou pire.] (Https://www.xkcd.com/538/)
Les portefeuilles de crypto-monnaie Ledger Nano prennent également en charge cela - vous permettant de saisir un mot de passe pour entrer dans la couche 1 du portefeuille, mais avec la possibilité de spécifier une couche supplémentaire 2 où vos vraies clés sont conservées.De cette façon, vous pouvez garder quelques dollars dans la couche 1 si quelqu'un vous a forcé à la déverrouiller.
@RobertColumbia "_Je pensais que l'Océanie a toujours été en guerre avec l'Eurasie_" Ils l'ont fait.Jusqu'à ce que l'Océanie fasse la paix avec l'Eurasie, alors [_ils auront toujours été en guerre avec Eastasia_] (https://en.wikipedia.org/wiki/Nations_of_Nineteen_Eighty-Four#International_relations).
Après vous être connecté au faux compte d'ordinateur, comment justifiez-vous qu'il ne dispose pas de privilèges d'administrateur / sudo?
@TripeHound Voulez-vous un biscuit au chocolat avec votre Victory Gin aux épices à la muscade?Les rations de chocolat viennent de passer à 2 mg par personne et par an!BTW, joli trou que vous avez là à l'arrière de votre tête.
@Nemo tous vos privilèges d'administrateur / sudo sont enfermés dans un compte "Administrateur" dont vous prétendez volontiers l'ignorance totale."Mon mari l'a installé il y a des années, je n'ai jamais connu le mot de passe"
Relaxed
2018-06-02 14:20:20 UTC
view on stackexchange narkive permalink

Ce n'est pas exactement le contexte que vous aviez en tête mais il existe en fait des systèmes qui ont implémenté cette idée. J'avais l'habitude de travailler dans une installation (quelque peu sensible) où chaque employé avait deux codes pour désactiver le système d'alarme: le standard et un code de contrainte. Si vous utilisiez le code de contrainte, le système serait désactivé pour ne pas vous mettre en danger mais une alarme silencieuse se déclencherait au centre de surveillance. Je lis sur Wikipédia que cela a également été envisagé pour les guichets automatiques bancaires aux États-Unis mais finalement exclu.

Un autre concept similaire est le " pot de miel" . Certains d'entre eux peuvent en fait accepter des informations d'identification ou fournir des données factices lorsqu'ils sont attaqués, pour pouvoir enregistrer ce qu'un attaquant fait ensuite ou exploiter la situation d'une autre manière (par exemple, capturer la charge utile d'un ver).

Quant à pourquoi ce n'est pas plus courant dans les produits de consommation, les services en ligne, etc., il y a simplement un compromis entre les avantages (quelle est la probabilité d'une attaque particulière, si elle dissuaderait efficacement les criminels ou les inciterait simplement à modifier légèrement leur technique) et le les coûts (systèmes plus complexes à développer, maintenir et certifier - ce qui signifie également une surface d'attaque accrue qui pourrait permettre à un attaquant avec un point d'entrée réel, une bande passante et des coûts d'exploitation pour servir les données factices à tous les botnets attaquant constamment les services en ligne, effort pour créer des données factices pour tromper des attaques plus sophistiquées).

Sayan
2018-06-03 21:32:46 UTC
view on stackexchange narkive permalink

C'est ce qu'on appelle la «Deception Technology» dans le cyber-monde où la solution trompe les cyber-ennemis (attaquants) avec des leurres clés en main (pièges) qui «imitent» vos véritables atouts. Des centaines ou des milliers de pièges peuvent être déployés avec peu d'effort, créant un champ de mines virtuel pour les cyberattaques, vous alertant immédiatement de toute activité malveillante avec des informations exploitables. Les pièges contiendraient des informations de connexion, des données factices, un système factice, etc. pour tromper l'attaquant en le faisant comme un système réel.

La technologie de tromperie est une catégorie émergente de défense de la cybersécurité. Les produits de la technologie de déception peuvent détecter, analyser et se défendre contre les attaques zero-day (où le type / la procédure d'attaque n'est pas connu auparavant) et les attaques avancées, souvent en temps réel. Ils sont automatisés, précis et fournissent un aperçu des activités malveillantes au sein des réseaux internes qui peuvent être invisibles par d'autres types de cyberdéfense. La technologie de tromperie permet une posture de sécurité plus proactive en cherchant à tromper les attaquants, à les détecter puis à les vaincre, permettant à l'entreprise de reprendre ses activités normales.

Vous pouvez consulter le lien ci-dessous pour certains fournisseurs de solutions: https://www.firecompass.com/blog/top-5-emerging-deception-technology-vendors-at-rsa-conference-2017/

Turris de NIC.CZ est également intéressant https://www.turris.cz/en/
arp
2018-06-02 10:33:47 UTC
view on stackexchange narkive permalink

Cela a été fait dans le passé, plutôt avec succès, mais dépend beaucoup de ce qu'est le système.

À un moment donné, il n'était pas rare pour les sites Web à accès payant de détecter automatiquement lorsqu'un compte se connectait à partir d'un trop grand nombre d'adresses IP ou avec d'autres modèles suspects et de rediriger ces utilisateurs vers une version du site qui était principalement annonces et liens d'affiliation vers d'autres sites. S'il est bien fait, le partage des identifiants de connexion volés pourrait devenir un centre de revenus.

Il existe également des sites Web qui dirigent les utilisateurs vers différentes versions en fonction de l'adresse IP ou d'autres critères; la version la plus simple est la publicité ciblée.

Pour l'accès au shell, il est possible de diriger une connexion vers une prison chrootée qui n'a qu'une petite section de disque et des binaires spécialement provisionnés, qui ne sont pas nécessairement les mêmes que le système général.

jmoreno
2018-06-02 17:16:21 UTC
view on stackexchange narkive permalink

Tout d'abord, je n'appellerais pas l'attaquant dans ce scénario un hacker. Un pirate informatique tente de contourner la sécurité qu'offre le site Web.Dans votre scénario, l'attaquant ne se soucie pas de la sécurité de vos services, il se soucie de la facilité avec laquelle l'utilisateur est intimidé et peut-être de ce qu'il doit faire du corps par la suite.

Deuxièmement, d'autres informations d'identification qui modifient votre accès ont été effectuées, mais si cela fait plus que présenter une vue restreinte de la vérité, cela représente beaucoup de travail et une utilité limitée.

La raison est d'une utilité limitée, car vos utilisateurs le savent, vous devez présumer que tout attaquant le sait également. Supposons que vous ayez fait cela pour une carte ATM afin qu'elle affiche un solde inférieur à cent dollars afin de limiter votre perte. Soit l'attaquant demande les deux (auquel cas la victime a au mieux 50% de chances de ne pas perdre plus) ou inclut simplement dans le cadre de ses demandes qu'il produit plus que cela - "si je n'obtiens pas au moins 200 tu es mort ".

Ce n'est pas totalement inutile, mais n'est efficace que contre un attaquant ignorant. S'appuyer sur l'attaquant ne sachant pas quelque chose s'appelle la sécurité par l'obscurité, c'est-à-dire "ils l'ont compris".

gabdev
2018-06-03 00:10:48 UTC
view on stackexchange narkive permalink

Pour le Web et une attaque à distance, comme beaucoup de gens l'ont déjà dit ici, outre la difficulté de créer un faux contenu d'utilisateur, il y a le problème de: comment savez-vous qu'il s'agit d'une connexion compromise?

Je veux dire, si vous supposez qu'il y a une sorte d'activité suspecte, comme une attaque par force brute, vous pouvez simplement bloquer la connexion pour cette IP et peut-être pour ce compte lui-même pour un certain temps (jusqu'à ce que le vrai propriétaire valide d'une manière ou d'une autre son identité)

Les seuls cas utiles sont les connexions forcées , c'est une autre histoire et une jolie idée de couperet. Voici l'implémentation que j'imagine pour un réseau social:

  1. L'utilisateur crée lui-même un compte avec des données factices, et le définit comme son compte factice.
  2. Quand il y a une connexion forcée en cours, comme vous jelous gf ou bf vous extorquant de vous connecter, alors vous mettez le mot de passe factice et il y en a! vous êtes connecté à votre magnifique compte factice créé par vous-même.

MAIS Ce n'est pas non plus une solution parfaite. L'attaquant vous connaîtra probablement et, si c'est votre ex fou par exemple, elle peut simplement vérifier son journal de discussion avec vous et saura que vous venez de vous connecter sur le faux compte.

Ceci est particulièrement pertinent car il s'agira d'une fonctionnalité bien connue du public de la plate-forme que vous êtes, donc quiconque vous oblige pourra vérifier si vous êtes ou non.

Pour les banques ou d'autres sites, c'est une très bonne idée.

Enerama Çevre Teknolojileri
2018-06-02 17:53:23 UTC
view on stackexchange narkive permalink

Le problème est que vos utilisateurs doivent le savoir, vous devez donc présumer que tout attaquant le sait également.

aks
2018-06-04 20:22:26 UTC
view on stackexchange narkive permalink

Pour moi, c'est comme si vous invitiez l'attaquant à danser avec vous.

"Hé attaquant, tu veux pirater mon site Web? Eh bien, voici un faux site de connexion pour vous!"

Vous ne voulez certainement pas inviter l'attaquant à danser avec vous car il pourrait trouver cela amusant et stimulant, ce qui lui donnerait encore plus de motivation pour essayer de pirater votre site Web.

Cette réponse est l'or de la comédie!


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 4.0 sous laquelle il est distribué.
Loading...