Facebook如何才能阻止对一个账户的暴力攻击？

Question

我最近做了一些关于黑客的研究，我发现了一些关于蛮力破解的非常有趣的教程。我有一些问题要问，我将以Facebook为例。

假设一个人决定破解一个账户的密码。他下载了一些Brute程序，并将其设置为尝试使用不同IP的每个密码组合。相同的IP将被使用，直到captcha出现，然后它将被替换为一个新的IP，这样facebook就无法通过阻止IP来阻止攻击。

也许我只是很笨(我对这件事没有经验)，但我认为facebook阻止这一攻击的唯一方法是锁定账户本身(阻止任何人登录)，但这对业务不利，因为这样会阻止所有者自己登录。facebook真的会因为这样的攻击而这么做吗？我认为像facebook这样的大型网站会经常受到不同破解者的攻击，其中一些可能同时攻击多个账户。

那么facebook做了什么来防止这种情况呢？因为除了锁定帐户外，我看不出它能做什么，这是不切实际的。这可能需要几个月或几年，但用这种方法，黑客最终将能够登录，不是吗？

Answer 1

尽管Facebook在多次尝试后锁定账户，就像其他答案所说的那样，你应该记住，“用新的IP代替你的IP”并不像你让它听起来那么简单。

大多数internet服务提供商允许您释放IP租约并获得新的IP地址，但是攻击者通常会从几百到几千个IP地址的小池中接收到一个IP地址。

当然，有代理服务器和TOR网络，但这些服务器只会为攻击者提供几百个额外的IP。

当攻击者能够访问僵尸网络时，他们可以使用僵尸网络的每个bot请求从各自的ISP获得尽可能多的IP (祝您好运，用户没有注意到任何事情)。但是大型的僵尸网络是昂贵的。

欺骗IP地址也不起作用，因为当您不仅想发送数据包，而且还想接收响应时，欺骗IP是不容易的。当您想强行使用HTTP登录时，您需要首先执行TCP握手，这需要能够接收响应。此外，您当然希望解析响应，以了解您是否成功。

即使理论上你可以使用互联网必须提供的40亿个IPv4地址，将你的尝试乘以40亿只会给你足够的尝试，用4到6个额外的字符(取决于密码包含多少个不同的字符)。

最后但并非最不重要的一点是，通过网络强制暴力的主要问题是可用带宽，这大大限制了您每秒钟的尝试，与您在本地使用蛮力散列时所能做的相比，这大大限制了您的尝试。

当您使用混合大小写、数字和特殊字符以及没有字典关系(一般推荐)的8字符密码时，通过网络强制暴力是完全不可行的，即使系统不使用任何防洪措施。

Answer 2

我知道facebook有几个不同的安全设置，而且并不是每个人都尽可能地使用它们，所以我只想谈谈我从个人经验中知道的设置。你的里程可能会不同。

Facebook有一个内置的方法，可以确定用户选择的设备是否允许访问该帐户。如果来自新设备的人试图登录我的帐户，我将收到一条新设备试图(或成功)访问我的帐户的消息(电子邮件或文本)。这本身并不是真正“停止”暴力攻击，而是与两步认证相结合才能做到。

Answer 3

Facebook确实会暂时锁定账户。在过多的身份验证失败之后，它会暂时锁定facebook帐户几个小时，并且需要一个安全问题/验证代码来解锁帐户以进行更多的验证尝试。在24次超时之后，您可以再次登录。对消费者来说，24小时没有Facebook并不意味着世界末日。对野蛮人来说，每次X次尝试都会延迟24小时，这是一个很大的痛苦。这是可用性和保护之间的一个很好的折衷。

当然，即使在这种情况下，攻击者也可以以足够的时间进入帐户。但是现在足够的时间是以月和年来衡量的。