Bruteforce o.ä. verhindern
Richi
- programmiertechnik
1 Alexander (HH)0 suit
Hallo Forum,
ich denke darüber nach, wie ich das Ausspionieren von Useraccounts am besten verhindern soll.
Dabei ist mein Problem nicht die Vorgehensweise bei korrektem Benutzer und falschem zugehörigen Passwort.
Interessant finde ich die Vorgehensweise bei _nicht_ korrektem Benutzernamen. IP zeitweise für den Login sperren ist nicht ok, weil ich damit anderen (echten) Usern mit derselben IP in die Quere komme.
Ich muß also den Rechner identifizieren, der versucht, Namen/Pass zu erraten. Eine Session ist da auch nicht das Richtige, die ist zu flüchtig.
Bleibt nur still zu ertragen, dass da jemand (egal ob per Hand oder Software) nach Nutzer/Pass sucht oder habt Ihr eine gute Idee?
Dabei geht es mir weniger um die Konsequenzen (Captcha, Zeitsperre, sonstwas) sondern mehr darum, den Fiesling zu erkennen, vor allem wenn er das verhindern will, (wieder)erkannt zu werden.
Gruß, Richard
Moin Moin!
Ich muß also den Rechner identifizieren, der versucht, Namen/Pass zu erraten.
Warum?
Und wie willst Du das anstellen? Du siehst nur eine IP-Adresse, hinter der durchaus ein Proxy für ein paar tausend Leute stecken kann.
Abgesehen davon: Wer ist der Böse? Der Rechner oder derjenige, der den Rechner steuert? Ich kenne viele Rechner, die "freiwillig" mehr als einen Benutzer haben. Und es gibt noch viel mehr Rechner, die "unfreiwillig" unter fremder Kontrolle stehen (Botnet).
Bleibt nur still zu ertragen, dass da jemand (egal ob per Hand oder Software) nach Nutzer/Pass sucht oder habt Ihr eine gute Idee?
Außerhalb des WWW: SSH mit Public Key-Verfahren statt Passwort benutzen.
Für kleine Benutzergruppen innerhalb des WWW: Client-Zertifikate benutzen.
Für kleine Benutzergruppen: VPN benutzen.
Dabei geht es mir weniger um die Konsequenzen (Captcha, Zeitsperre, sonstwas) sondern mehr darum, den Fiesling zu erkennen, vor allem wenn er das verhindern will, (wieder)erkannt zu werden.
Das kannst Du ganz entspannt knicken.
Stand der Technik ist, IP-Adressen oder notfalls ganze IP-Ranges zeitweise zu sperren, so bald die Einbruch-Versuche so heftig werden, dass sie den Betrieb stören.
Wenn in den Logs bestimmte Störer immer wieder auftauchen, gräbt man per whois nach dem Verantwortlichen für das betroffene Netz (abuse@provider.tld) und spricht den an, damit der das abstellt. Hilft das nicht, blockiert man das Störer-Netz permanent.
Alexander
Das Sperren der IP wird nicht sehr hilfreich sein, weil die Brute Force Tools den Proxy nach X Transaktionen immer wechseln. Somit ist auch die IP von der der Angriff kommt immer eine andere.
Das Sperren der IP wird nicht sehr hilfreich sein, weil die Brute Force Tools den Proxy nach X Transaktionen immer wechseln. Somit ist auch die IP von der der Angriff kommt immer eine andere.
Oder der Angriff kommt gleich von einem Botnet und ballert dich zu :)
Interessant finde ich die Vorgehensweise bei _nicht_ korrektem Benutzernamen. IP zeitweise für den Login sperren ist nicht ok, weil ich damit anderen (echten) Usern mit derselben IP in die Quere komme.
Ein Problem ist da eher, dass du damit einem Angreifer eine wertvolle Information lieferst, ob ein Benutzer tatsächlich existiert.