[*]
[*]Solución:
Para empezar, ese artículo hace un mal uso de la terminología.
Cualquiera que sea la vulnerabilidad a la que puedan estar refiriéndose, parece bastante evidente que no es “fuerza bruta”, ya que eso contradiría la premisa de esa misma oración. Como sugirió otra respuesta, es posible que se empleara alguna forma de ingeniería social, pero en este caso cualquier ronda de “suposición” que quedara no sería fuerza bruta en absoluto, sino que aprovecharía hábilmente los puntos de datos conocidos.
Además, identifica erróneamente la falla de seguridad más probable.
En conjunto, lo más probable en el caso descrito en el artículo es una base de datos comprometida. en otro sitio. El artículo específicamente permite esto cuando dice “si no se filtró desde otro sitio”, lo que implica que su esposa no usa contraseñas únicas por sitio. Si no usa contraseñas únicas1 entonces todas las apuestas están apagadas2 y no puedes culpar a Google si tu cuenta de Gmail está comprometida3 que todas sus cosas son tan seguras como el sitio más débil que utilice, un enfoque de mínimo común denominador que seguramente le traerá problemas, ya que para cualquier conjunto de sitios, ¡está casi garantizado que uno de ellos ha manejado mal los datos del usuario!
1. Deberías. Punto final.
2. En además de (pero no en lugar de) el uso de contraseñas únicas, habilitar la autenticación de dos factores también mitigaría este vector de ataque.
3. Tenga en cuenta de nuevo el problema de la terminología aquí. Una cuenta comprometida (como en mi uso) es diferente a una cuenta pirateada (como en el uso del artículo). En el escenario más probable, la cuenta de Gmail no fue pirateada (ninguna medida de seguridad en Google falló) el atacante simplemente pudo iniciar sesión con la contraseña que pirateó desde otro lugar.
Sobre ese párrafo dice:
También es posible que la contraseña de mi esposa haya sido simplemente “adivinada”, aunque de una manera diferente de lo que los profanos podrían asumir. Adivinar con menos frecuencia implica ingeniería social (probar tu fecha de nacimiento, tu ciudad natal o los nombres de tus familiares) que los “ataques de fuerza bruta”.
Lo más probable es a lo que se refería.
En otras palabras, aunque según la mayoría de los estándares cuantitativos es una contraseña segura, en realidad se compone de dos palabras fáciles de adivinar y un número. Es posible que un atacante solo necesite probar algunas docenas de combinaciones de ciudad de origen, fecha de nacimiento, nombres de mascotas, etc. para adivinar la contraseña.
Es cierto que los ataques que no sean de fuerza bruta pueden estar mal etiquetados como fuerza bruta, o que el autor está hablando de fuerza bruta contra una contraseña con hash hipotéticamente robada de Google ( mucho Espero que lo revelen si eso sucediera y forzarán los cambios de contraseña).
Sin embargo, tomando el reclamo al pie de la letra, ¿es cierto que:
Por razones demasiado complejas para explicar aquí, incluso algunos sistemas, como el de Gmail, que no permiten a los intrusos hacer millones de conjeturas al azar sobre una contraseña, pueden seguir siendo vulnerables a los ataques de fuerza bruta.
La respuesta es un débil sí, pueden serlo, pero no es una línea de ataque especialmente fructífera. Tiene que ver con cómo se implementa realmente “no permitir que los intrusos hagan millones de conjeturas al azar”.
Google (supongo) lo bloqueará si realiza demasiados intentos fallidos de inicio de sesión desde una sola dirección IP. Pero, ¿bloqueará una cuenta si se realizan demasiados intentos fallidos de inicio de sesión en ella? Los cajeros automáticos hacen eso, se comen su tarjeta si se equivoca el PIN tres veces. Pero para incluso hacer el intento, debes tener la tarjeta en sí, por lo que las únicas personas que pueden hacer esto eres tú o alguien que tomó tu tarjeta.[*].
Si Google bloqueara su cuenta después de tres intentos fallidos de inicio de sesión desde cualquier parte del mundo, entonces habría un ataque de DoS trivial (aunque no típicamente devastador) que alguien podría realizar contra las cuentas de Google: simplemente realice deliberadamente muchos intentos fallidos de inicio de sesión. Cualquiera que conozca el nombre de su cuenta puede hacer esto, no hay un token físico como segundo factor. Miles o millones de personas deben pasar por el rigamarole y la inconveniencia de desbloquear su cuenta usando un número de teléfono o una dirección de correo electrónico de respaldo, o tal vez pierdan sus cuentas por completo debido a que no tienen registrado un segundo factor actualizado. Esto no ha sucedido, por lo que no puede ser tan fácil lograr que Google bloquee la cuenta de alguien.
No se que es Google Realmente hace acerca de bloquear cuentas que parecen estar bajo ataque, pero ciertamente es plausible que un sistema como GMail podría tolerar muchas tonterías antes de bloquear la cuenta.
Por lo tanto, consiga una botnet de unos pocos millones de direcciones IP y podrá realizar un ataque de fuerza bruta relativamente lento si realmente lo desea. Cuantas más cuentas tenga para trabajar simultáneamente, menos intentos hará en cada cuenta y es menos probable que se bloquee cada cuenta. Simplemente no hagas demasiados intentos por día desde cada dirección IP.
En cuanto a si es plausible que realmente le sucedió a la esposa del autor, lo dudo. No es un gran uso de una botnet de clase mundial. Pero para una contraseña bastante débil, dos palabras comunes en inglés seguidas de (digamos) un número de tres dígitos, es ciertamente posible que un ataque de fuerza bruta distribuido masivamente podría encuéntrelo, si alguien decide aplicar uno. Pero esta contraseña no está entre las “mil más comunes” que un atacante ejecutaría primero contra cada cuenta, incluso antes de comenzar con “dos palabras en inglés y tres dígitos”. Está lejos de ser la fruta más barata. Entonces, en ese sentido, sistemas como este aún pueden ser vulnerables a una fuerza bruta en vivo, pero no es algo que realmente suceda AFAIK. En cualquier caso, creo que vale la pena que el autor advierta que confiar en una contraseña de este formulario no ser forzado sería complaciente, pero FUD junto con “este margen es demasiado pequeño para contener la prueba” no es ideal 😉
Además, Google ya no te permite iniciar sesión desde una dirección IP arbitraria: ni mi hipotética botnet ni los chicos de Lagos descritos en el artículo deberían poder iniciar sesión incluso si tienen la contraseña. Créame, esto me ha mordido en el pasado tratando de acceder legítimamente a las diversas API de Google usando mi propia cuenta desde servidores virtuales esparcidos por el lugar, no importa lo que sucedería si intentara usar las cuentas de otras personas. Entonces, incluso dado el riesgo de adivinar la contraseña, Google hace todo lo posible para tener un mayor nivel de seguridad.
[*] O alguien que clonó tu tarjeta, si vives en uno de esos lugares del tercer mundo que aún no tienen Chip and Pin. Pero si ha clonado la tarjeta de crédito de alguien en esos lugares, hay muchas más cosas entretenidas que puede hacer con ella que bloquearla maliciosamente.