> Alt ! Lo e' se gli userid non sono enumerabili. Se, come accade in molte > banche, gli userid sono a loro volta enumerabili, e' sufficiente > prendere tre password a caso e provarle attraverso tutti gli userid. In > questo modo ottieni il doppio effetto di entrare sicuramente (a meno che > gli utenti siano meno di 100mila) e di bloccare i 99.999 conti dove non > sei entrato :)
Ciao Stefano, in realta' non e' corretto dire che in questo modo si riesce ad "entrare sicuramente", perche' l'attacco a forza bruta deve essere fatto sulle password non sugli userid. Un controesempio concettuale potrebbe essere quello di immaginare che tutti gli utenti abbiano la stessa password e che questa sia diversa dalle tre che vengono provate dall'attaccante. In definitiva e' comunque un buon attacco che puo' dare un'alta percentuale di successo soprattutto se fatto con password numeriche banali (es.: 12345 ecc.) oppure legate alle date di nascita. Inoltre se l'attaccante si limita a due tentativi puo' anche sperare di non essere troppo "visibile" con il blocco degli account :) Saluti Raffaele ________________________________________________________ http://www.sikurezza.org - Italian Security Mailing List
