Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Projekte der phpBB.de-Community und Feedback zu phpBB.de.
PhilippK
Vorstand
Vorstand
Beiträge: 14662
Registriert: 13.08.2002 14:10
Wohnort: Stuttgart
Kontaktdaten:

Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von PhilippK » 19.01.2010 23:24

Hier könnt ihr über die Bekanntmachung Brute-Force-Angriffe auf phpBB-Boards diskutieren:
PhilippK hat geschrieben:Hallo zusammen,

in der letzten Woche konnten vermehrt Angriffsversuche auf phpBB-Boards festgestellt werden. Dabei wurde versucht, die Passwörter von Benutzers durch Probieren zu knacken. Weitere Informationen finden sich in der Meldung auf phpBB.com: http://www.phpbb.com/community/viewtopi ... &t=1947925

phpBB 3 hat verschiedene Schutzmechanismen, um solche Angriffe abzuwehren. Dazu zählt insbesondere die Funktion, die nach einer bestimmten Anzahl von erfolglosen Anmeldeversuche die Eingabe eines Sicherheitscode (CAPTCHA) erforderlich machen. Auch die Nutzung der Möglichkeit, neu registrierten Benutzern den Zugang zur Mitgliederliste zu untersagen, kann entsprechende Angriffe erschweren. Es wird daher empfohlen, die entsprechenden Einstellungen zu überprüfen.

Wir werden in den kommenden Tagen weitere Informationen veröffentlichen. Bis dahin sein auf die oben verlinkte Ankündigung verwiesen. Bei Fragen könnt ihr ggf. das Forum phpBB 3.0: Administration und Benutzung nutzen.

Viele Grüße,

Philipp
Kein Support per PN!
Der Sozialstaat ist [...] eine zivilisatorische Errungenschaft, auf die wir stolz sein können. Aber der Sozialstaat heutiger Prägung hat sich übernommen. Das ist bitter, aber wahr. (Horst Köhler)
Meine Mods

Benutzeravatar
Flashen-us
Gesperrt
Beiträge: 17
Registriert: 16.01.2010 14:43

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Flashen-us » 20.01.2010 10:06

Ist bekannt, ob nur auf phpBB-Boards Angriffe versucht wurden oder auch auf andere Foren? Nicht, dass die irgendeine Sicherheitslücke gefunden haben. :geek:
Ich habe eine MOD eingebaut, die mir fehlgeschlagene Loginversuche im Benutzerprotokoll anzeigt, kann ich nur empfehlen. In der letzten Woche konnte ich nichts Außergewöhnliches beobachten.
Die deutsche Community zum amerikanischen Flashing

Wenn wir es recht überdenken, so stecken wir doch alle nackt in unseren Kleidern. (Heinrich Heine)

Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 10412
Registriert: 19.05.2005 21:45
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Crizzo » 20.01.2010 12:41

Was passiert denn, wenn ich jetzt nachträglich die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle? Müssen dann alle Nutzer deren Passwörter neuen Erfordernissen nicht entsprechen, ihre Passwörter ändern?

Boecki91
Ehemaliges Teammitglied
Beiträge: 4744
Registriert: 18.06.2006 15:21

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Boecki91 » 20.01.2010 15:48

Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.
Standart: Am besten mit beiden Beinen auf dem Boden
Standardmäßig antworte ich nicht auf PMs

Phoenix
Mitglied
Beiträge: 129
Registriert: 20.06.2009 20:50

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Phoenix » 20.01.2010 16:21

Boecki91 hat geschrieben:Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.

doch es geht

man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum

Benutzeravatar
nickvergessen
Ehrenadmin
Beiträge: 11559
Registriert: 09.10.2006 21:56
Wohnort: Stuttgart, Germany
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von nickvergessen » 20.01.2010 16:24

Wenn du aus der kryptischen Kombination wirklich auf das Passwort zurück kommst kannste n Haufen Geld damit machen. ;)
Ich glaube nicht das du das wirklich kannst.
kein Support per PN

Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 10412
Registriert: 19.05.2005 21:45
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Crizzo » 20.01.2010 16:31

D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?

Benutzeravatar
bantu
Server-Team
Beiträge: 7311
Registriert: 25.04.2006 16:12
Wohnort: Karlsruhe

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von bantu » 20.01.2010 16:56

Phoenix hat geschrieben:doch es geht

man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum
Du beschreibst das Ersetzen eines Passwortes, nicht das Auslesen des ursprünglichen Passwortes.

Boecki91 hat Recht. Der in der DB gespeicherte Hash gibt weder Informationen über die Länge noch den Inhalt des Passworts, siehe http://de.wikipedia.org/wiki/Hashfunktion. Klar kann man einen neuen Hash aus einem neuen Passwort erstellen und den alten Hash ersetzen. Das gleiche passiert ja auch wenn man sein Passwort regulär ändert.
BlackHawk87 hat geschrieben:D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?
Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.
Powered by Coffee

Benutzeravatar
Crizzo
Administrator
Administrator
Beiträge: 10412
Registriert: 19.05.2005 21:45
Kontaktdaten:

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von Crizzo » 20.01.2010 17:11

Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?

Benutzeravatar
bantu
Server-Team
Beiträge: 7311
Registriert: 25.04.2006 16:12
Wohnort: Karlsruhe

Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"

Beitrag von bantu » 20.01.2010 17:55

BlackHawk87 hat geschrieben:Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?
Oh, sorry. Darauf wollte ich auch noch antworten. Prizipiell sollte es zu keinen Problemen kommen.
Powered by Coffee

Antworten

Zurück zu „Community Talk“