避免密碼字典攻擊的 Account lockout
利用上百萬組密碼的組合,來 Try 帳號密碼是常見的一種字典攻擊法
駭客準備常見的密碼組合,透過工具傳送 http request
看看 Web server http response的反應
通常要猜出帳號密碼只是時間的問題,
因此大多數的網站都會設計, 該帳號如果短時間打錯三次就會鎖住,或是必須重新申請
這樣的安全防護機制就稱為 Account lockout
但是,這樣的機制必須要在使用者的不便與安全性取得一個平衡
CAPTCHA
另外,為了避免程式自動化輸入的攻擊,網站常見的有 CAPTCHA
不太容易讀的圖案,要求使用者輸入該圖案中的文字,
這樣可以降低程式自動攻擊輸入密碼的機會
測試 Lockout 的目標
1. 測試目前 lockout 的機制是否可以有效阻擋 brute force的字典攻擊,
因此要利用一些自動化測試工具來做驗證
2. unlock的機制,是否可以有效的驗證使用者,避免駭客任意的就可以 unlock
防護建議
1. 帳號密碼輸入,加入 CAPTCHA 是一中比較簡便而且有效的方式來降低被駭客用程式自動化輸入與測試密碼
2. Lockout 當使用者嘗試輸入錯誤三次以上應該有將該帳號鎖定的機制,
限定一定時間內無法登入,或是發出通知給該帳號使用者
3. 當帳號被鎖定時,如何解開? 可能就必須要求使用者輸入 Security Questions 或是其他資訊來驗證該使用的身分。