我如何确定一个网站是否能以某种方式保护我的密码免受暴力攻击？(假设我不能创建匿名帐户)

Question

在马特·霍南的黑客攻击之后，我研究了我自己在我使用的众多网站上的账户清单。有一个突出的事实：

许多网站严格限制密码的大小和字符选项.

具有讽刺意味的是，政府和金融网站是罪魁祸首。一个政府网站将密码限制为6-8个字母数字字符.一些金融网站将大小限制为8个字符。

看来，除非网站实施某种对策，否则尝试每一种可能性的攻击都是可行的。讨论了针对这类攻击的对策，这里和这里。

我想提出以下问题：

如何确定一个网站是否能以某种方式保护我的密码免受暴力攻击？(假设我不能创建匿名帐户)

Google显示有一些迹象表明，有一些应用程序和库可以发起我自己的验证性攻击，我宁愿不冒引起注意或导致拒绝服务的风险。似乎应该有一种不那么具有破坏性的方式来确定是否实施了一项反措施。

接着讨论早期的答案：

1. 我不是要保护我控制的网站。我只是这些网站的用户。
2. 我所拥有的财政和政府账户并不容易创建。绝对不能匿名创作。试图强行使用我使用的帐户(无论匿名与否)会危及我使用它的可用性。

Answer 1

实际上只有两种方法可以减轻网络暴力的影响。你可以同时找他们两个。

1. 油门。在几次尝试之后，网站会给你时间吗？是否需要很长时间才能回应你的要求(故意的)。将错误的密码输入SSH)。我会很惊讶，如果一个网站使用节流锁定您在几次尝试。假设攻击包含整个usernames...they列表，则可能会将所有用户锁定在外。
2. 验证员。如果你尝试太多，他们是否在使用reCAPTCHA或者其他非常烦人的东西？如果袭击者真的想.他可以将captcha解决方案外包给非洲或需要高开销的somewhere....but。

Answer 2

九头蛇是比较成熟的网络暴力工具之一。但是，如果您正在测试特定应用程序的蛮力敏感性，那么只需要多次尝试日志记录，如果它们没有提示您使用capthca，那么它就容易受到攻击。如果你清理了你的饼干，卡普茶就消失了，那么它就很脆弱了。

Answer 3

获取Tor并设置它，在您想要测试的服务上创建一个新帐户(Google，Facebook，什么的，.)，然后尝试强制它。确保强制通过Tor代理执行(就像注册一样)，但要确保您有一个新的Tor标识(与创建帐户时不同)。扔掉电子邮件，你可以使用http://mailinator.com。