Seite 1 von 8
Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 19.01.2010 23:24
von PhilippK
Hier könnt ihr über die Bekanntmachung
Brute-Force-Angriffe auf phpBB-Boards diskutieren:
PhilippK hat geschrieben:Hallo zusammen,
in der letzten Woche konnten vermehrt Angriffsversuche auf phpBB-Boards festgestellt werden. Dabei wurde versucht, die Passwörter von Benutzers durch Probieren zu knacken. Weitere Informationen finden sich in der Meldung auf phpBB.com:
http://www.phpbb.com/community/viewtopi ... &t=1947925
phpBB 3 hat verschiedene Schutzmechanismen, um solche Angriffe abzuwehren. Dazu zählt insbesondere die Funktion, die nach einer bestimmten Anzahl von erfolglosen Anmeldeversuche die Eingabe eines Sicherheitscode (CAPTCHA) erforderlich machen. Auch die Nutzung der Möglichkeit, neu registrierten Benutzern den Zugang zur Mitgliederliste zu untersagen, kann entsprechende Angriffe erschweren. Es wird daher empfohlen, die entsprechenden Einstellungen zu überprüfen.
Wir werden in den kommenden Tagen weitere Informationen veröffentlichen. Bis dahin sein auf die oben verlinkte Ankündigung verwiesen. Bei Fragen könnt ihr ggf. das Forum
phpBB 3.0: Administration und Benutzung nutzen.
Viele Grüße,
Philipp
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 10:06
von Flashen-us
Ist bekannt, ob nur auf phpBB-Boards Angriffe versucht wurden oder auch auf andere Foren? Nicht, dass die irgendeine Sicherheitslücke gefunden haben.
Ich habe eine MOD eingebaut, die mir fehlgeschlagene Loginversuche im Benutzerprotokoll anzeigt, kann ich nur empfehlen. In der letzten Woche konnte ich nichts Außergewöhnliches beobachten.
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 12:41
von Crizzo
Was passiert denn, wenn ich jetzt nachträglich die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle? Müssen dann alle Nutzer deren Passwörter neuen Erfordernissen nicht entsprechen, ihre Passwörter ändern?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 15:48
von Boecki91
Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 16:21
von Phoenix
Boecki91 hat geschrieben:Nein das geht ja nicht, weil das Passwort verschlüsselt ist und man keinerlei Rückschlüsse auf das Orginal gibt.
doch es geht
man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 16:24
von nickvergessen
Wenn du aus der kryptischen Kombination wirklich auf das Passwort zurück kommst kannste n Haufen Geld damit machen.
Ich glaube nicht das du das wirklich kannst.
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 16:31
von Crizzo
D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 16:56
von bantu
Phoenix hat geschrieben:doch es geht
man kann das PW wieder entschlüsseln
bzw. wenn man sich in die DB hackt das PW ganzleicht ändern
hab mein PW mal vergessen und da ich ja admin bin und auch zugriff
auf die DB habe hab ich einfach darüber mein PW wieder geändert und
konnte somit wieder in das Forum
Du beschreibst das Ersetzen eines Passwortes, nicht das Auslesen des ursprünglichen Passwortes.
Boecki91 hat Recht. Der in der DB gespeicherte Hash gibt weder Informationen über die Länge noch den Inhalt des Passworts, siehe
http://de.wikipedia.org/wiki/Hashfunktion. Klar kann man einen neuen Hash aus einem neuen Passwort erstellen und den alten Hash ersetzen. Das gleiche passiert ja auch wenn man sein Passwort regulär ändert.
BlackHawk87 hat geschrieben:D.h. ich kann dann problemlos die Anforderungen hochstellen, ohne das es zu Problemen kommt?
Was ginge ist das Passwort beim Login auf Länge zu überprüfen und dem Benutzer die Anmeldung zu verweigern bis er sein Passwort geändert hat, das macht phpBB aber nicht.
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 17:11
von Crizzo
Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?
Re: Diskussion zu "Brute-Force-Angriffe auf phpBB-Boards"
Verfasst: 20.01.2010 17:55
von bantu
BlackHawk87 hat geschrieben:Ich will ja nur wissen, wenn ich jetzt die Passwort-Komplexität von "keine Erfordernisse" auf einen anderen Wert stelle, kann es dann zu Problemen mit den schon existierenden Benutzerpasswörtern kommen, ja oder nein?
Oh, sorry. Darauf wollte ich auch noch antworten. Prizipiell sollte es zu keinen Problemen kommen.