Razor Systm

2 días atrás mientras recordaba la clave de una cuenta de correo muy muy antigua, me topé con una característica que todo formulario debería tener, que es la de prevenir o bloquear ataques de fuerza bruta. Bueno con un poco más de tiempo me puse a probar que sitios 2.0 implementan seguridad en sus formularios.

De entre los sitios más populares que previenen el brute force son:

Gmail, Hotmail, Twitter, Facebook, Digg





La política de seguridad respecto a formularios pueden ser más o menos restrictivas de acuerdo a la empresa, como ejemplo tenemos a Facebook que simplemente suspende la cuenta por un periodo de tiempo, y no hace uso de capchas para minimizar los ataques. Creo yo que un sistema para prevenir estos ataques debería tener 3 pasos:

1.- Usuario + Clave por 3 intentos
2.- Usuario + Clave + Capcha por 3 intentos
3.- Suspensión de acceso a la cuenta por un tiempo determinado.

Respecto a esta funcionalidad de los formularios, Security By Default publicó este post en donde muestran el uso wfuzz para ataques de fuerza bruta y su punto de vista respecto a la seguridad en formularios.

Saludos