Brute Force Attacken

[modernist]

Ein Mensch kann natürlich eine noch so gute CAPTCHA lesen und bestehen.

Manchmal bzw. bei manchen Captchas glaube ich, ich bin gar kein Mensch!

[sepp71]

Ein Mensch kann natürlich eine noch so gute CAPTCHA lesen und bestehen.

Manchmal bzw. bei manchen Captchas glaube ich, ich bin gar kein Mensch!

Rot-grün-schwach? Ich auch!

[patti2005]

patti meint das heutzutage auch oft echte Menschen die Nicks anmelden und dann eine DB mit den Zugangsdaten füttern. Ein Mensch kann natürlich eine noch so gute CAPTCHA lesen und bestehen.

Genau das meinte ich, so fern das CAPTCHA auch sicher und aktuell ist.
Wobei es sicher auch schwer ist eine Mischung zu finden um es menschen noch zu ermoeglichen diese zu lesen, habe schon Seiten gesehen wo ich leider das anmelden dort aufgeben musste da ich es einfach nicht schaffte das CAPTCHA zu lesen :-/

Gruss

[Talk19zehn]

Hello,

ggf. nützlich für das eigentliche Threadthema "Brute-Force-Attacken" - Beste Grüße

Zusammenhang von Brute-Force-Attacken und Passwortlängen

...(...)... Brute-Force-Attacken sind Versuche eines Computer-Programms, das Passwort eines anderen Programms zu knacken, indem alle möglichen Kombinationen von Buchstaben und Zahlen ausprobiert werden. Daher ist ersichtlich, dass die Länge eines Passworts massgeblich für die Sicherheit von Daten wichtig ist.
...(...)...


http://www.1pw.de/brute-force.html#achtung

.

Edit: Titel

[markus giersch]

Naja, dass bringt dich bei der Anmeldung von Spam Bots auch nichts.

Ich habe nun das ReCaptche gegen Q&B Captche getauscht.

Die Frage ist zwar sau simpel da die Antwort nur 3 Buchstaben hat und auch sonst keine Denkleistung voraussetzt, jedoch muss man halt wissen wie unsere Partei in Kurzform heist Das errät zu 100% kein Spambot XD Wenn doch, dann müssen wir langsam von künstlicher Inteligenz reden die auch noch selbstständig denken kann

[uwe.ha]

kann man einfach das login in einloggen ändern?! (da in der url steht doch ...?mode=login daraus ein ?mode=einloggen machen?

Das, so finde ich, könnte ein sinnvoller Ansatz sein!
Die Mehrzahl der Angriffe dürften wohl automatisiert sein. Die Domain wird zwar individuell geändert, der Pfad (mit dem ?mode_login) dürfte aber immer gleich sein. Ich glaube nicht, dass diese "Hacker" sich die Mühe machen zu überprüfen, ob man "login" oder was anderes verwendet ... genauso wie Spammailversender per greylisting zu 99,9% erfolgreich geblockt werden können ... die machen sich auch nicht die "Mühe" eine Spammail erneut zu versenden.
Im alten phpbb 2.x hatte ich auch mal (wegen Spamanmeldungen) dieses "login" gegen "zwiebelkuchen" ausgetauscht, und schwupps ... war das Problem gelöst.

Ich bin nicht kundig genug, um diesen Weg näher zu beleuchten ... was sagen die Fachleute?
Optimal wäre vielleicht eine Mod, in der der Admin im ACP angeben kann, was statt "login" verwendet werden soll.

Was auch noch sinnvoll ist: Im ACP unter Server-Konfiguration > Sicherheit die Passwort-Komplexizität zu erhönen (bei mir: Muss Buchstaben und Ziffern enthalten). Auch so, durch komplexere Passwörter, macht man Hackern das Leben schwerer.

[x42]

Es gibt eine einfache, aber bewährte Methode gegen Brute-Force-Angriffe: Wenn ein User x mal ein falsches Passwort eingibt, muss er eine bestimmte Zeitspanne warten, bevor er sich wieder anmelden kann. Setzt man diese Zeitspanne auf zehn Minuten nach drei Versuchen, fordert die User auf, nach 100 Tagen ein neues Passwort einzustellen und setzt dann noch Prioritäten für dieses Passwort (es muss mindestens zehn Zeichen lang sein und Zahlen und Sonderzeichen enthalten), ist das ein ziemlich sicherer Schutz.

Weiß jemand, wie man so einen Schutz installieren kann? Gibt es eine Mod dafür?

[modernist]

es muss mindestens zehn Zeichen lang sein und Zahlen und Sonderzeichen enthalten

Viel Glück, wenn sich dann noch jemand anmeldet.
Bei mir ist das manchen schon mit 6 und Groß- und Kleinbuchstaben sowie Ziffern zu lang.

[redbull254]

Hallo erstmal,

es muss mindestens zehn Zeichen lang sein und Zahlen und Sonderzeichen enthalten, ist das ein ziemlich sicherer Schutz.

Zusammenhang von Brute-Force-Attacken und Passwortlängen
Bei mir muss man min. 12 Zeichen eingeben.
Ich kann nicht feststellen, dass sich deshalb weniger Leute anmelden (Vorher/Nachher-Vergleich).
Wer mit sicheren Passwörtern aus Bequemlichkeit ein Problem hat soll gerne weg bleiben.
Wir sind nicht auf Mitglieder-Jagd.

Weiß jemand, wie man so einen Schutz installieren kann? Gibt es eine Mod dafür?

Das kann man alles mit Board-Mitteln erledigen. Was genau meinst Du ?

[markus giersch]

kann man einfach das login in einloggen ändern?! (da in der url steht doch ...?mode=login daraus ein ?mode=einloggen machen?

Das, so finde ich, könnte ein sinnvoller Ansatz sein!
Die Mehrzahl der Angriffe dürften wohl automatisiert sein. Die Domain wird zwar individuell geändert, der Pfad (mit dem ?mode_login) dürfte aber immer gleich sein. Ich glaube nicht, dass diese "Hacker" sich die Mühe machen zu überprüfen, ob man "login" oder was anderes verwendet ... genauso wie Spammailversender per greylisting zu 99,9% erfolgreich geblockt werden können ... die machen sich auch nicht die "Mühe" eine Spammail erneut zu versenden.
Im alten phpbb 2.x hatte ich auch mal (wegen Spamanmeldungen) dieses "login" gegen "zwiebelkuchen" ausgetauscht, und schwupps ... war das Problem gelöst.

Ich bin nicht kundig genug, um diesen Weg näher zu beleuchten ... was sagen die Fachleute?
Optimal wäre vielleicht eine Mod, in der der Admin im ACP angeben kann, was statt "login" verwendet werden soll.

Ich warte

Es gibt eine einfache, aber bewährte Methode gegen Brute-Force-Angriffe: Wenn ein User x mal ein falsches Passwort eingibt, muss er eine bestimmte Zeitspanne warten, bevor er sich wieder anmelden kann. Setzt man diese Zeitspanne auf zehn Minuten nach drei Versuchen, fordert die User auf, nach 100 Tagen ein neues Passwort einzustellen und setzt dann noch Prioritäten für dieses Passwort (es muss mindestens zehn Zeichen lang sein und Zahlen und Sonderzeichen enthalten), ist das ein ziemlich sicherer Schutz.

Weiß jemand, wie man so einen Schutz installieren kann? Gibt es eine Mod dafür?

Nicht sinnvoll, weil wenn jemqand versucht den Accountd es Admins zu "hacken", dann ist der Admin gesperrt, und dann?