Hallo,
ich denke auch, dass die Denkweise
je mehr Information desto höher die Gefahr nicht richtig ist.
Charlie_M hat geschrieben:T-M hat geschrieben:Wenn aber, wie in einem aktuellen Fall, ein Bot fast alle Usernamen des Forum´s mit verschiedenen
Standartpasswörtern ausprobiert, wird die Schwachstelle des Hinweises deutlich.
Sehe ich nicht so. Im Gegenteil: dadurch wird deutlich dass nicht automatisiert unendlich viele Versuche gestartet werden können um unbefugt an einen Account zu kommen.
Ich spreche die Schwachstelle des Hinweises an, nicht die Funktion als Schwachstelle.
Mir ist klar, dass die Information inhaltlich richtig ist, das habe ich nie in Frage gestellt.
Aber für einen Teil der
Normaluser ist sie zu missverständlich geschrieben.
Charlie_M hat geschrieben:
Ich möchte nicht wissen wie viele User ihr Passwort nicht mehr genau wissen und daher verschiedene Kombinationen ausprobieren. Diesen Umstand kann man nicht differenzieren.
Deswegen meine Idee (siehe Screenshot) mit der Ausgabe, ob das eingegebene Passwort richtig oder falsch ist.
Charlie_M hat geschrieben:Mein Lösungsansatz wäre sich Gedanken zu machen wie man diese Angriffe im VORFELD bereits abfangen kann.
Das ist ein bißchen am Thema vorbei aber das kann man nur bedingt abfangen.
Man könnte Bots/Gästen kein Leserecht im Forum geben, das trifft aber auf die wenigsten Foren zu.
Auch MODs wie z.B.
NV who was here? können in diesem Fall eine Sicherheitslücke darstellen, da sie von
jedem gelesen werden kann, wenn man sie nicht selbst umschreibt.
