Conta ataque
Lockout
Em um ataque de bloqueio de conta, um atacante tenta bloquear contas de usuário propositadamente não o processo de autenticação tantas vezes quanto necessárias para acionar a funcionalidade de bloqueio de conta. Este por sua vez, impede até mesmo o usuário válido de obter acesso à sua conta. Por exemplo, se um bloqueio de conta política diz que os usuários sejam bloqueados de suas contas depois de três tentativas de login, um atacante pode bloquear contas deliberadamente enviando uma senha inválida três vezes. Em grande escala, este ataque pode ser usado como um método no lançamento de um ataque de negação de serviço em muitas contas. O impacto de um tal ataque é agravado quando existe uma quantidade significativa de trabalho necessária para desbloquear as contas para permitir aos utilizadores tentam autenticar novamente.
Exemplos
eBay Ataque de bloqueio de conta
Ao mesmo tempo, eBay exibe o user-id do maior lance para um determinado leilão. Nos minutos finais do leilão, um atacante que faltava para vencer o atual maior lance poderia tentar autenticar três vezes usando a conta alvejado. Depois de três tentativas de autenticação deliberadamente incorretas, estrangulando a senha, eBay iria bloquear a conta do mais alto licitante durante um determinado período de tempo. Um invasor pode então fazer o seu próprio lance e que o usuário legítimo não teria a chance de colocar uma contra-proposta porque seria bloqueado de sua conta.
Em um ataque de bloqueio de conta, um atacante tenta bloquear contas de usuário propositadamente não o processo de autenticação tantas vezes quanto necessárias para acionar a funcionalidade de bloqueio de conta. Este por sua vez, impede até mesmo o usuário válido de obter acesso à sua conta. Por exemplo, se um bloqueio de conta política diz que os usuários sejam bloqueados de suas contas depois de três tentativas de login, um atacante pode bloquear contas deliberadamente enviando uma senha inválida três vezes. Em grande escala, este ataque pode ser usado como um método no lançamento de um ataque de negação de serviço em muitas contas. O impacto de um tal ataque é agravado quando existe uma quantidade significativa de trabalho necessária para desbloquear as contas para permitir aos utilizadores tentam autenticar novamente.
Exemplos
eBay Ataque de bloqueio de conta
Ao mesmo tempo, eBay exibe o user-id do maior lance para um determinado leilão. Nos minutos finais do leilão, um atacante que faltava para vencer o atual maior lance poderia tentar autenticar três vezes usando a conta alvejado. Depois de três tentativas de autenticação deliberadamente incorretas, estrangulando a senha, eBay iria bloquear a conta do mais alto licitante durante um determinado período de tempo. Um invasor pode então fazer o seu próprio lance e que o usuário legítimo não teria a chance de colocar uma contra-proposta porque seria bloqueado de sua conta.