Que é SMPS?
Aprende o que é SMPS e o significado das diferentes clasificacións de eficiencia antes de escoller un SMPS para o teu ordenador.
Que é a colleita de contas?
Hai moitos tipos diferentes de violacións de datos. Algúns implican unha gran cantidade de tempo, planificación e esforzo por parte do atacante. Isto pode tomar a forma de aprender como funciona un sistema antes de elaborar unha mensaxe convincente de phishing e enviala a un empregado que teña acceso suficiente para permitir que o atacante roube detalles confidenciais. Este tipo de ataque pode producir unha gran cantidade de datos perdidos. O código fonte e os datos da empresa son obxectivos comúns. Outros obxectivos inclúen datos de usuarios como nomes de usuario, contrasinais, detalles de pago e PII, como números de seguridade social e números de teléfono.
Aínda que algúns ataques non son tan complicados. É certo que tampouco teñen un impacto tan grande en todos os afectados. Iso non significa que non sexan un problema. Un exemplo chámase colleita de contas ou enumeración de contas.
Enumeración de contas
Algunha vez tentaches iniciar sesión nun sitio web só para que che diga que o teu contrasinal era incorrecto? Esa é máis ben unha mensaxe de erro específica, non é? É posible que se, deliberadamente, cometes un erro no teu nome de usuario ou enderezo de correo electrónico, o sitio web che diga que "non existe unha conta con ese correo electrónico" ou algo nese sentido. Ves a diferenza entre esas dúas mensaxes de erro? Os sitios web que fan isto son vulnerables á enumeración de contas ou á recollida de contas. En pocas palabras, ao proporcionar dúas mensaxes de erro diferentes para os dous escenarios diferentes, é posible determinar se un nome de usuario ou enderezo de correo electrónico ten unha conta válida co servizo ou non.
Hai moitas formas diferentes de identificar este tipo de problema. O escenario anterior das dúas mensaxes de erro diferentes é bastante visible. Tamén é doado de corrixir, simplemente proporcione unha mensaxe de erro xenérica para ambos os casos. Algo así como "O nome de usuario ou o contrasinal que introduciu era incorrecto".
Outras formas en que se poden recoller as contas inclúen os formularios de restablecemento de contrasinal. Poder recuperar a túa conta se esqueces o teu contrasinal é útil. Non obstante, un sitio web mal protexido pode proporcionar de novo dúas mensaxes diferentes dependendo de se existe o nome de usuario ao que intentou enviar un restablecemento de contrasinal. Imaxina: "A conta non existe" e "Enviouse o restablecemento do contrasinal, consulta o teu correo electrónico". De novo neste escenario, é posible determinar se existe unha conta comparando as respostas. A solución tamén é a mesma. Proporcione unha resposta xenérica, algo así como: "Enviouse un correo electrónico de restablecemento do contrasinal" aínda que non haxa ningunha conta de correo electrónico á que envialo.
Sutileza na colleita da conta
Os dous métodos anteriores son algo ruidosos en canto á súa pegada. Se un atacante intenta realizar calquera dos ataques a escala, aparecerá con bastante facilidade basicamente en calquera sistema de rexistro. O método de restablecemento do contrasinal tamén envía explícitamente un correo electrónico a calquera conta que realmente exista. Facer ruído non é a mellor idea se intentas ser furtivo.
Algúns sitios web permiten a interacción directa do usuario ou a visibilidade. Neste caso, simplemente navegando polo sitio web, podes recoller os nomes de pantalla de cada conta coas que te atopas. O nome de pantalla adoita ser o nome de usuario. En moitos outros casos, pode dar unha gran pista sobre que nomes de usuario adiviñar xa que a xente adoita usar variacións dos seus nomes nos seus enderezos de correo electrónico. Este tipo de recollida de contas interactúa co servizo, pero é esencialmente indistinguible do uso estándar, polo que é moito máis sutil.
Unha boa forma de ser sutil é non tocar nunca o sitio web atacado. Se un atacante tentaba acceder a un sitio web corporativo só para empregados, podería facelo exactamente. En lugar de comprobar o propio sitio por problemas de enumeración de usuarios, poden ir a outro lugar. A través de sitios de arrastre como Facebook, Twitter e, especialmente, LinkedIn, pode ser posible construír unha lista bastante boa de empregados dunha empresa. Se o atacante pode determinar o formato de correo electrónico da empresa, como [email protected], entón pode coller un gran número de contas sen conectarse nunca ao sitio web que planean atacar con elas.
Pouco se pode facer contra calquera destas técnicas de recollida de contas. Son menos fiables que os primeiros métodos, pero pódense usar para informar métodos máis activos de enumeración de contas.
O demo está nos detalles
Unha mensaxe de erro xenérica é xeralmente a solución para evitar a enumeración de contas activas. Porén, ás veces, son os pequenos detalles os que revelan o xogo. Por estándares, os servidores web proporcionan códigos de estado cando responden ás solicitudes. 200 é o código de estado de "OK", que significa éxito, e 501 é un "erro interno do servidor". Un sitio web debería ter unha mensaxe xenérica que indique que se enviou un restablecemento do contrasinal, aínda que non fose así porque non había ningunha conta co nome de usuario ou enderezo de correo electrónico proporcionado. Nalgúns casos, aínda que o servidor enviará o código de erro 501, aínda que o sitio web mostre unha mensaxe correcta. Para un atacante que presta atención aos detalles, isto é suficiente para dicir que a conta realmente existe ou non.
Cando se trata de nomes de usuario e contrasinais, mesmo o tempo pode xogar un factor. Un sitio web necesita almacenar o teu contrasinal, pero para evitar filtralo no caso de que se vexan comprometidos ou teñan unha información privilegiada deshonesta, a práctica estándar é facer hash o contrasinal. Un hash criptográfico é unha función matemática unidireccional que, se se dá a mesma entrada, sempre dá a mesma saída, pero se mesmo un só carácter da entrada cambia, a saída enteira cambia completamente. Ao almacenar a saída do hash, despois hash o contrasinal que envía e comparando o hash almacenado, é posible verificar que enviou o contrasinal correcto sen saber nunca o seu contrasinal.
Xuntando os detalles
Os bos algoritmos de hash tardan en completarse, normalmente menos dunha décima de segundo. Isto é suficiente para dificultar a forza bruta, pero non tanto para ser difícil de manexar cando só ten que comprobar un único valor. pode ser tentador para un enxeñeiro de sitios web cortar unha esquina e non molestarse en cortar o contrasinal se o nome de usuario non existe. Quero dicir, non ten ningún sentido, xa que non hai nada con que comparalo. O problema é o tempo.
As solicitudes web adoitan ver unha resposta nunhas poucas decenas ou mesmo cen milisegundos. Se o proceso de hash do contrasinal tarda 100 milisegundos en completarse e o programador o salta... iso pode notarse. Neste caso, unha solicitude de autenticación para unha conta que non existe recibiría unha resposta en aproximadamente 50 ms debido á latencia da comunicación. Unha solicitude de autenticación para unha conta válida cun contrasinal non válido pode levar uns 150 ms, isto inclúe a latencia de comunicación, así como os 100 ms mentres o servidor usa o contrasinal. Simplemente comprobando canto tempo tardou en volver unha resposta, o atacante pode determinar cunha precisión bastante fiable se existe ou non unha conta.
As oportunidades de enumeración orientada aos detalles como estas dúas poden ser tan eficaces como os métodos máis obvios de recoller contas de usuario válidas.
Efectos da recollida de contas
A primeira vista, poder identificar se existe ou non unha conta nun sitio pode non parecer demasiado problema. Non é que o atacante puidese acceder á conta nin nada. Os problemas adoitan ser un pouco máis amplos. Os nomes de usuario adoitan ser enderezos de correo electrónico ou pseudónimos ou basearse en nomes reais. Un nome real pódese ligar facilmente a un individuo. Tanto os enderezos de correo electrónico como os pseudónimos tamén adoitan ser reutilizados por un só individuo, o que permite vinculalos a unha persoa específica.
Entón, imaxina se un atacante pode determinar que o teu enderezo de correo electrónico ten unha conta nun sitio web de avogados de divorcio. Que pasa nun sitio web sobre afiliacións políticas de nicho ou condicións de saúde específicas. Ese tipo de cousas poderían filtrar algunha información sensible sobre ti. Información que quizais non queiras.
Ademais, moitas persoas aínda reutilizan contrasinais en varios sitios web. Isto é a pesar de que practicamente todos coñecen os consellos de seguridade para usar contrasinais únicos para todo. Se o teu enderezo de correo electrónico está implicado nunha violación de datos masivos, é posible que o hash do teu contrasinal estea incluído nesa violación. Se un atacante é capaz de usar a forza bruta para adiviñar o teu contrasinal a partir desa violación de datos, pode tentar usalo noutro lugar. Nese momento, un atacante coñecería o teu enderezo de correo electrónico e un contrasinal que podes usar. Se poden enumerar contas nun sitio no que ten unha conta, poden probar con ese contrasinal. Se reutilizaches ese contrasinal nese sitio, o atacante pode entrar na túa conta. É por iso que se recomenda usar contrasinais únicos para todo.
Conclusión
A recollida de contas, tamén coñecida como enumeración de contas, é un problema de seguridade. Unha vulnerabilidade de enumeración de contas permite que un atacante determine se existe ou non unha conta. Como vulnerabilidade de divulgación de información, o seu efecto directo non é necesariamente grave. O problema é que cando se combina con outra información a situación pode empeorar moito. Isto pode dar lugar á existencia de detalles sensibles ou privados que se poidan vincular a unha persoa específica. Tamén se pode usar en combinación con violacións de datos de terceiros para acceder ás contas.
Tampouco hai ningún motivo lexítimo para que un sitio web filtre esta información. Se un usuario comete un erro no seu nome de usuario ou contrasinal, só ten que comprobar dúas cousas para ver onde cometeu o erro. O risco causado polas vulnerabilidades de enumeración de contas é moito maior que o beneficio extremadamente menor que pode proporcionar a un usuario que cometeu un erro no nome de usuario ou contrasinal.
Que é a seguridade baseada no illamento?
Imos afondar nun tema cada vez máis importante no mundo da ciberseguridade: a seguridade baseada no illamento. Este enfoque para
Como usar o clic automático para Chromebook
Hoxe imos afondar nunha ferramenta que pode automatizar tarefas de clic repetitivos no teu Chromebook: o Clicker automático. Esta ferramenta pode aforrar tempo e
Roomba detén, pégase e dá a volta - Solución
Resolve un problema no que o teu robot aspirador Roomba se detén, se pega e segue xirando.
Por que o meu Chromebook non se acende
Obtén respostas á pregunta Por que non se acende o meu Chromebook? Nesta guía útil para usuarios de Chromebook.
Como cambiar a configuración gráfica en Steam Deck
O Steam Deck ofrece unha experiencia de xogo robusta e versátil ao teu alcance. Non obstante, para optimizar o teu xogo e garantir o mellor posible
Como cambiar a cara do reloxo nun Fitbit Versa 4
Cambia a esfera do teu Fitbit Versa 4 para darlle ao teu reloxo un aspecto diferente todos os días de forma gratuíta. Mira o rápido e sinxelo que é.
Como denunciar estafas de phishing a Google
Aprende a denunciar a un estafador a Google para evitar que estafe a outros con esta guía.
Como eliminar unha GPU do PC con Windows en 2023
Necesitas eliminar a GPU do teu PC? Únete a min mentres explico como eliminar unha GPU do teu PC nesta guía paso a paso.
Que é o Shoulder Surf?
O hombro surf é unha clase de ataque de enxeñería social. Implica que un atacante recompila información mirando a túa pantalla.
