Hi,
entschuldige bitte, aber du bist ein bißchen zu voreilig.
Das ist im Sicherheitsbereich immer besser als zu spät! ;-)
Wenn ein Benutzer "auf eigene Verantworung" seinen Benutzernamen und sein Passwort preis gibt und seine Daten von einer dritten Person gelöscht werden, dann war das kein Angriff auf mein System, es sei, die Person versucht Daten zu löschen, die nicht mehr dem Loginuser gehören.
In diesem Fall ist ein Login zwar bequem aber ziemlich nutzlos. Dafür wären dann mehrschichtige Verschlüsselungsmethoden deutlich besser.
Aber in beiden Fällen bleibt es unbestreitbar, dass ich als Administrator zunächst _nichts_ dagegen unternehmen kann, aller aller höchstens danach!
Naja, wofür gibt's denn Verträge? ;-)
Dann verbleiben nur noch Angriffe von Crackern - diverse Angriffe von Intern jetzt mal ausgeschlossen -
Äh, nein. Du darfst erstmal _nichts_ ausschließen. Vor allem aber keinen Angriffe von innen, denn das sind statistisch die häufigsten Fälle!
die durch BruteForce oder anderen Methoden versuchen, in mein System zu einzudringen!
Wie gesagt, BruteForce ist nicht mehr en vogue, da es mittlerweile bessere Methoden gibt und beim Login auch durch die hier im Thread beschriebene Methode entgegengearbeitet werden kann.
Vielleciht solltest Du Dir mal den Sinn und Zweck und vor allem die Begrenzung eines Logins zu Gemüte führen:
Weshalb?
Weil das eine schöne rethorische Frage ist, die meinen Absatz über Sinn und Unsinn eines Logins hübsch einleitete.
Weil du der Ansicht bist, dass ich das nicht weiß?
Da ich Deinen Wissensstand nicht kenne muß ich davonausgehen, ja.
Diese Ausführung war wirklich nicht notwendig!
Nochmal: woher soll ich das wissen?
Somit kannst Du überhaupt nicht unterscheiden, wer das Login getätigt hat. Wenn ein Haufen Fehlversuche in kurzer Zeit anbranden ist das ein Angreifer? Ist das _jedesmal_ ein Angreifer oder ist der eigentliche User auch darunter?
Wenn der eigentliche User 1000 Loginversuche pro Sekunde durchführt, dann mag er zwar ein User mit einem berechtigtem Zugriff sein, aber er greift dennoch mein System an, durch die Last, die er erzeugt.
Ah, ich sehe, ich habe das nicht sauber erklärt, sorry.
Wenn so ein Angriff getätigt wird, erfolgt das in fast allen Fällen als verteilter Angriff, also von einem Wust verschiedener IPs. Das können bei ernsthaften Angriffen, z.B. wenn Du erpreßt wirst, durchaus einige zehntausend sein. Wenn Du jetzt zur Identifikation nichts anderes als ein Standard-Login hast, kannst Du den regulären Benutzer nicht identifizieren, er ist ausgesperrt und somit hat das DDoS Erfolg.
Ja, sowas ist extrem unwahrscheinlich und kann auch meist mit einem Telephonat und einem neuem Account geregelt werden. Blöd natürlich wenn es eine zeitkritische Anwendung war.
Ich habe niemals behauptet, den User zu sperren!! (s.o. voreilig)
Du magst es nicht direkt tun, effektiv ist der Benutzer aber ausgesperrt, denn er kann sich durch das (D)DoS nicht einloggen.
NT-Zeiten mögen vorrüber sein, in denen man einen Kollegen ärgern konnte, indem man sich drei Mal mit seinem Account und falschem Passwort versuchte einzuloggen. ;-)
Das ist nicht vergleichbar, da Du hier nicht bloß einen hast, der Dich ärgert, sondern einen Riesenhaufen gleichzeitiger Zugriffe. Da reicht schon alleine die Pause zwischen zwei Fehllogins den regulären Benutzer auszusperren.
Da die Wahrscheinlichkeit dafür sehr gering ist reicht zwar das Vorgehen mit der Pause, der oben beschriebene Nachteil verschwindet damit jedoch nicht.
Das mag für Dich heute völlig egal sein, aber ist es das morgen auch?
Damit habe ich nicht so viel zu tun, _aber_ der Kunde wird sicherlich froh sein, wenn er weiß, dass ich es einem Cracker 3x2mio Mal schwerer gemacht habe - obwohl ihm die besagte Technik egal sein mag -, auf seine Daten zugreifen zu können!
Nein, das ist ihm völlig egal, glaub's mir, dsa interessiert ihn nicht die Bohne. Er will seine Leistung haben und wie Du das anstellst geht ihm, mit Verlaub, am Arsch vorbei.
Falls er einer dieser grausam unzufriedenen Kunden sein sollte, dann hat er sich doch ganz bestimmt die AGBs/Nutzungsbediengungen oder was auch immer vorher durchgelesen :-)
Man merkt wirklich, das Du nicht auf zahlende Kunden angewiesen bist ;-)
Spaß beiseite!
Nö, wieso denn?
Auch wenn wir beide wohl deutsch sein mögen, so zwingt uns das doch nicht automatisch gleich zur Humorlosigkeit, oder?
Natürlich muss darauf Rücksicht genommen werden, aber nicht zu Kosten des Risikos. Wie weit nun das Risiko eingeschränkt wird und welche Maßnahmen hierzu ergriffen werden... da mag es etliche Lösungsansätze geben.
Naja, im Bereich wirklicher _Lösungen_ sieht's eher mau aus.
Die Möglichkeit beim reinem Login ist nur das Päuschen, wenn Du das sicherere machen willst müßtest Du etwas anderes als das Standardlogin einsetzen. Dafür gibt es dann wieder einige, teilweise sogar ganz gute Lösungsansätze.
Meine Zeitverzögerung sollte eines dieser Möglichkeiten sein und ich wollte nur wissen, ob diese Möglichkeit eine gute Möglichkeit ist.
Und um dies entscheiden zu können bekamst Du Vor- und Nachteile der Methode serviert. Warum Du darauf unwirsch reagierst kann ich nicht so ganz nachvollziehen.
Sollte es an meinem Stil liegen bitte ich höflichst um Entschuldigung es lag nicht in meiner Absicht.
Natürlich ist schon der Username kritisch. Aber genau deshalb mache ich mir Gedanken um dieses Thema. Falls sich ein User nicht anmelden kann, weil sein Username gerade attakiert wird, dann hat er die Möglichkeit, den Support anzurufen. Die Möglichkeit zu ignorieren, höhere Sicherheit erzielen zu können, nur damit sich der User problemlos einloggen kann, steht _meiner_Ansicht_ nach nicht zur Debatte.
Natürlich nicht, habe ich ja auch nie behauptet.
Allerdings ist die Kurve nicht linear, die die Sicherheit in Abhängigkeit zu den Methoden mißt. Das Maxima (wenn es denn überhaupt nur eines gibt) liegt irgendwo in der Mitte. Der Nutzen eines Systems liegt ja nicht einfach darin, nicht angreifbar zu sein, denn das derart beste System ist eines, das im Tresor steht und sonst nirgendwo angeschlossen ist. Dieses System ist extrem sicher, vor allem gegen Angriffe aus dem Netz, aber der Nutzen geht doch schwer gegen Null, oder?
Auf der anderen Seite steht der Nutzer, dem es am liebsten wäre, wenn überhaupt nix zu tun wäre, kein Login, kein Chipkarte, nix. Einfach einschalten und loslegen.
Und jetzt bist Du dran und mußt Dich ganz vorsichtig dazwischen lavieren, damit einerseits dem User nichts zuviel wird (anrufen zu müssen kann im Einzelfall schon zuviel sein!) und andererseits dem Angreifer nichts zu leicht gemacht wird.
Es ist eine Schaden/Nutzen Berechnung, wobei noch zusätzlich zu bedenken ist, das bei möglichem hohem Schaden auch die Wahrscheinlichkeit eines massiven Angriffs steigt. Die Zahl der Erpressungen von auf ungestörtem Zugang auf und vom Internet angewiesenen Firmen steigt stark. Das sind auch keine Scriptkiddies mehr, die dsa tun, sondern professionelle Banden.
Wie schon geschrieben, sollten gegebene Nutzerrichtlinien das rechtliche abdecken.
Bitte denk' bei AGBs usw daran, das einige Formulierungen nicht unbedingt rechtlich bindend sind. Bist Du nicht selber Vertragsanwalt würde ich unbedingt einen konsultieren. Ist zwar nicht billig aber sehr nützlich.
Und nimm das nicht wieder als Vorwurf, es ist keiner. Du bist schließlich nicht der einzige, der hier mitliest.
Aber mit dieser Aussage lege ich mir natürlich selbst ein Ei, denn dann muss ich den Benutzer auch dazu auffordern, ein Passwort mit Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen zu verwenden.
Und wie von mir beschrieben ist das absolut kein Problem. Und wenn Du eine andere Meinung wünscht: Bruce Schneier schlug das auch mal vor. Er ist auch ein Anhänger des SingleSignOn:http://www.schneier.com/passsafe.html.
Die Daten des Home-Verzeichnisses sind es jedoch, die wertvoll sind!
Das weicht mir jetzt zu stark vom Thema ab.
Tut mir leid, aber das ist in diesem Forum nicht unüblich ;-)
(üblich sind, wie o.a. meist drei Sekunden) zu geben, das ist die einzige technische Möglichkeit, die Dir gegeben ist und trotz o.a. Nachteile auch von mir empfohlen wird, da die Wahrscheinlichkeit eines (D)DoS doch _sehr_ gering ist.
Dankeschön! Die Diskussion hat mir weitergeholfen!
Nu, wer war hier jetzt voreilig? ;-)
Jetzt muss ich mich aber sputen, wollte noch einen anderen Thread aufmachen. Bis dann ... :)
Wie, kein multithreading? ;-)
so short
Christoph Zurnieden