티스토리 뷰

무차별 대입 공격 (bruteforce)




무작위 대입 시도 가정



 1. 무작위대입 공격자는 프록시를 이용하여 여러 아이피에서 무작위 대입 시도 

(아이피만으로 차단 무리)


 2. 무작위 대입툴은 대입시도 주기를 설정할수 있으므로 방화벽 및 로그인인증 과정에서 

몇분동안 몇개의 시도에 대한 차단 하는것은 무의미  할 수 있음



: 현재 많은 사이트에서는 아이디에 대해서 몇차례 시도시 보안문자 입력이며 계속 시도시 

추가인증 (휴대폰, 아이핀, 개인정보) 혹은 계정을 잠겨버리는 정책을 많이 사용함



계정잠금 정책



계정하나에 대해 잘못된 패스워드 시도가 있는 경우 계정 잠금 


 악의적인 목적을 가진 사람이 하나 혹은 여러 계정을 잠겨버릴수 있음 

(서비스 거부 DOS 공격 가능성)


 관리자가 계정 잠금을 해제하더라도 또 잠글수 있음 


로그인 시도에 대한 결과 메세지를 분명하게 보여주지 않아야 함


 사용자가 존재하지 않는다


 아이디는 맞으나  패스워드가 틀리다 


위와 같이 정확하게 결과를 사용자에게 반환하면 공격자는 현재 사용중인 아이디에 

대해서 유추할 수 있게 됨






참고 사이트



http://www.cs.virginia.edu/~csadmin/gen_support/brute_force.php

 

댓글
댓글쓰기 폼