[Erledigt] Neuester Stand bei Brute Force Abwehr

drsoong · 31.08.2008, 12:07

Hi,

würde mich mal interessieren, ob es inzwischen bessere Konzepte zur Brute Force Abwehr auf der Ebene der Webanwendung gibt, oder was derzeit als Best Practice erachtet wird.

1. IP-Adresse blocken nach x vergeblichen Loginversuchen innerhalb Zeit t

Probleme: Hacker wechseln IP-Adresse extrem schnell. Mehre gute User
nutzen 1 IP und sind gleichzeitig ausgeschlossen.

2. Account sperren nach x vergeblichen Loginversuchen innerhalb Zeit t

Problem: Brute Force Attacken wechseln nicht nur mögliche Passwörter, sondern auch ständig den möglichen User.

3. Anwendung sperren nach x vergeblichen Loginversuchen innerhalb t

Na ja, da würde wohl so mancher User dumm gucken, wenn er erst mal 'ne Zeit lang nicht mehr im System arbeiten darf.

4. User muss Bildcode mit Logindaten eingeben.

Problem: Bei entsprechendem Interesse lesen Hacker diesen Code auch aus, d. h. Sie investieren die Zeit, um eine Ausleseroutine zu schreiben.
Nicht sehr nutzerfreundlich und überfordert bisweilen den "einfachen" User.

Soweit mein Stand. Was sagt Ihr.

Manko10 · 31.08.2008, 12:11

Was ich mache, ist den Account für n Minuten zu sperren. Somit können Bruteforce-Angriff zwar nicht verhindert, aber in der Effinzienz stark verringert werden, da pro Account nur x Versuche innerhalb der Zeit t möglich sind.
So ist ein Angriff mit maximal 5 Passwörtern innerhalb von 15 Minuten pro Account nur sehr ineffizient.

EDIT:
Ach, und was auch noch hilfreich sein kann ist eine Erkennung an der Zeit zwischen den Versuchen. Man kann es zwar keinem User zumuten, seine Daten nur alle 10 Sekunden eingeben zu dürfen, aber länger als 2 Sekunden braucht ein Mensch schon. Allein wegen der Dauer der Serveranfrage und -antwort.

drsoong · 31.08.2008, 12:18

Klingt schon mal sehr gut, danke! Mal sehen, was da noch so geboten wird.

nikosch · 31.08.2008, 13:22

Ja, so eine Art logarithmische Verzögerung bei der Verabeitung der Eingabe (erste Eingabe 0 oder 1 Sekunde, zwei 2 Sekunden, dritte 5 Sekunden oder dergl.).

Gegen gleichzeitige IP und Userwechsel nützt wohl nischt so richtig (deshalb danke für die Liste, habe diese eine Problematik ehrlich gesagt noch nie bedacht)

StarSt0rm · 31.08.2008, 13:28

Das ist eine schöne Frage, jedoch ist die Zeit, für das Eingeben der Daten,
kein gültiges Kriterium. Wieso ist sehr offensichtlich. Es gibt zahlreiche
Add-Ons die einem das ganze abnehmen, zum Beispiel SecureLogin für
Fiirefox. Diese Add-ons erlauben dem User sich per Tastendruck, bei mit ist
das die Leertaste, sich auf der Seite einzuloggen. Somit werde ich wohl kaum
zwei Sekunden dafür brauchen, wobai ist nicht einmal abwarte bin die Seiten
100%ig geladen sind. (Bin halt etwas ungeduldig.

)

nikosch · 31.08.2008, 13:31

(Zumindest) Ich meine auch eine Latenzzeit zwischen Formulardatenprüfung und nachfolgende Reaktion (Fehlermeldung oder Folgeseite). Bei einem fehlerhaften Login eine oder ein paar Sekunden zu warten ist für einen menschlichen User durchaus zumutbar, für einen Bot der die Reaktion auswerten muß, ist es wahrscheinlich eine halbe Ewigkeit.

Manko10 · 31.08.2008, 13:33

Doch, 2 Sekunden sind ein gutes Maß. Selbst bei Secure-Login (welches sich selbst auch benutze) dauert es etwas bis

* die Seite gesendet wurde
* die Antwort kommt
* ich die Fehlermeldung gelesen habe
* noch mal geklickt/gedrückt habe

Alles in allem zwei Sekunden, wenn man nicht von irgendjemandem gejagt wird oder an der Parkinsonschen Krankheit leidet.

StarSt0rm · 31.08.2008, 13:38

Klar, dann habe ich dich etwas falsch verstanden. Ich persönlich sperre die
Accounts nach x versuchen in einer Zeit t für 15 Minuten. Beim nächsten
erfolgreichem Login erscheint dem User eine Nachricht wie "Es wurden
mehrere Versuche unternommen sich mit Ihrem Benutzernamen einzuloggen.
Es wäre nicht verkehrt, wenn Sie ihr Passwort ändern."

So kann man die Angriffe nicht vermeiden, die Sicherheit jedoch stark
erhöhen. Vor allem, wenn man bei "Erstellen" eines Passwortes an einiges
richtet. Man sollte die User nicht zu hochkomplezen Passwörtert zwingen,
aber ihnen deutlich sagen dass die nicht sehr sicher sind.

Manko10 · 31.08.2008, 13:40

Macht WEB.DE meines Wissens nach auch. Nach einem erfolgreichen Login wird angezeigt, wie viele Fehllogins seit der letzten Anmeldung erfolgt sind, wenn deren Anzahl größer als 0 ist.

David · 31.08.2008, 13:41

[quote=StarSt0rm;3634Ich persönlich sperre die
Accounts nach x versuchen in einer Zeit t für 15 Minuten.[/QUOTE]

Aber damit sperrst Du auch den legitimen Benutzer für 15 Minuten aus. Dann braucht <Böser Mensch> nur x*96 Attacken pro Tag zu starten, um Benutzer Y dauerhaft auszusperren.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Thema bewerten
Thema bewerten:

31.08.2008, 12:07
drsoong Erfahrener Benutzer Registriert seit: 05.08.2008 Beiträge: 1.127	[Erledigt] Neuester Stand bei Brute Force Abwehr Hi, würde mich mal interessieren, ob es inzwischen bessere Konzepte zur Brute Force Abwehr auf der Ebene der Webanwendung gibt, oder was derzeit als Best Practice erachtet wird. 1. IP-Adresse blocken nach x vergeblichen Loginversuchen innerhalb Zeit t Probleme: Hacker wechseln IP-Adresse extrem schnell. Mehre gute User nutzen 1 IP und sind gleichzeitig ausgeschlossen. 2. Account sperren nach x vergeblichen Loginversuchen innerhalb Zeit t Problem: Brute Force Attacken wechseln nicht nur mögliche Passwörter, sondern auch ständig den möglichen User. 3. Anwendung sperren nach x vergeblichen Loginversuchen innerhalb t Na ja, da würde wohl so mancher User dumm gucken, wenn er erst mal 'ne Zeit lang nicht mehr im System arbeiten darf. 4. User muss Bildcode mit Logindaten eingeben. Problem: Bei entsprechendem Interesse lesen Hacker diesen Code auch aus, d. h. Sie investieren die Zeit, um eine Ausleseroutine zu schreiben. Nicht sehr nutzerfreundlich und überfordert bisweilen den "einfachen" User. Soweit mein Stand. Was sagt Ihr.


Mister Ad PHP Code Flüsterer Registriert seit: 21.08.2005 Beiträge: 4682 PHP-Kenntnisse: Fortgeschritten

31.08.2008, 12:11
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Was ich mache, ist den Account für n Minuten zu sperren. Somit können Bruteforce-Angriff zwar nicht verhindert, aber in der Effinzienz stark verringert werden, da pro Account nur x Versuche innerhalb der Zeit t möglich sind. So ist ein Angriff mit maximal 5 Passwörtern innerhalb von 15 Minuten pro Account nur sehr ineffizient. EDIT: Ach, und was auch noch hilfreich sein kann ist eine Erkennung an der Zeit zwischen den Versuchen. Man kann es zwar keinem User zumuten, seine Daten nur alle 10 Sekunden eingeben zu dürfen, aber länger als 2 Sekunden braucht ein Mensch schon. Allein wegen der Dauer der Serveranfrage und -antwort. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems” Geändert von Manko10 (31.08.2008 um 12:16 Uhr).

31.08.2008, 12:18
drsoong Erfahrener Benutzer Registriert seit: 05.08.2008 Beiträge: 1.127	Klingt schon mal sehr gut, danke! Mal sehen, was da noch so geboten wird.

31.08.2008, 13:22
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	Ja, so eine Art logarithmische Verzögerung bei der Verabeitung der Eingabe (erste Eingabe 0 oder 1 Sekunde, zwei 2 Sekunden, dritte 5 Sekunden oder dergl.). Gegen gleichzeitige IP und Userwechsel nützt wohl nischt so richtig (deshalb danke für die Liste, habe diese eine Problematik ehrlich gesagt noch nie bedacht) __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

31.08.2008, 13:28
StarSt0rm Neuer Benutzer Registriert seit: 25.08.2008 Beiträge: 14 PHP-Kenntnisse: Fortgeschritten	Das ist eine schöne Frage, jedoch ist die Zeit, für das Eingeben der Daten, kein gültiges Kriterium. Wieso ist sehr offensichtlich. Es gibt zahlreiche Add-Ons die einem das ganze abnehmen, zum Beispiel SecureLogin für Fiirefox. Diese Add-ons erlauben dem User sich per Tastendruck, bei mit ist das die Leertaste, sich auf der Seite einzuloggen. Somit werde ich wohl kaum zwei Sekunden dafür brauchen, wobai ist nicht einmal abwarte bin die Seiten 100%ig geladen sind. (Bin halt etwas ungeduldig.) __________________ gmap – Das jQuery Plug-in für Google Maps anpassen jQuery – Sternchen Bewertungssystem Google Chart API – wenn’s mal schnell gehen muss

31.08.2008, 13:31
nikosch moderatives Dielektrikum Registriert seit: 21.05.2008 Beiträge: 35.987 PHP-Kenntnisse: Fortgeschritten	(Zumindest) Ich meine auch eine Latenzzeit zwischen Formulardatenprüfung und nachfolgende Reaktion (Fehlermeldung oder Folgeseite). Bei einem fehlerhaften Login eine oder ein paar Sekunden zu warten ist für einen menschlichen User durchaus zumutbar, für einen Bot der die Reaktion auswerten muß, ist es wahrscheinlich eine halbe Ewigkeit. __________________ -- One pixel is still too big. Please make it smaller. ASAP. Initiative Mittelstand. Die wichtigste Gestaltungsregel im Screendesign ist Pi mal Daumen des Arbeitgebers. --

31.08.2008, 13:33
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Doch, 2 Sekunden sind ein gutes Maß. Selbst bei Secure-Login (welches sich selbst auch benutze) dauert es etwas bis * die Seite gesendet wurde * die Antwort kommt * ich die Fehlermeldung gelesen habe * noch mal geklickt/gedrückt habe Alles in allem zwei Sekunden, wenn man nicht von irgendjemandem gejagt wird oder an der Parkinsonschen Krankheit leidet. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

31.08.2008, 13:38
StarSt0rm Neuer Benutzer Registriert seit: 25.08.2008 Beiträge: 14 PHP-Kenntnisse: Fortgeschritten	Klar, dann habe ich dich etwas falsch verstanden. Ich persönlich sperre die Accounts nach x versuchen in einer Zeit t für 15 Minuten. Beim nächsten erfolgreichem Login erscheint dem User eine Nachricht wie "Es wurden mehrere Versuche unternommen sich mit Ihrem Benutzernamen einzuloggen. Es wäre nicht verkehrt, wenn Sie ihr Passwort ändern." So kann man die Angriffe nicht vermeiden, die Sicherheit jedoch stark erhöhen. Vor allem, wenn man bei "Erstellen" eines Passwortes an einiges richtet. Man sollte die User nicht zu hochkomplezen Passwörtert zwingen, aber ihnen deutlich sagen dass die nicht sehr sicher sind. __________________ gmap – Das jQuery Plug-in für Google Maps anpassen jQuery – Sternchen Bewertungssystem Google Chart API – wenn’s mal schnell gehen muss

31.08.2008, 13:40
Manko10 Supermoderator HD Registriert seit: 16.03.2008 Beiträge: 8.706 PHP-Kenntnisse: Fortgeschritten	Macht WEB.DE meines Wissens nach auch. Nach einem erfolgreichen Login wird angezeigt, wie viele Fehllogins seit der letzten Anmeldung erfolgt sind, wenn deren Anzahl größer als 0 ist. __________________ Refining Linux Advent Calendar series “24 Outstanding ZSH Gems”

31.08.2008, 13:41
David Erfahrener Benutzer Registriert seit: 05.09.2007 Beiträge: 5.044	[quote=StarSt0rm;3634Ich persönlich sperre die Accounts nach x versuchen in einer Zeit t für 15 Minuten.[/QUOTE] Aber damit sperrst Du auch den legitimen Benutzer für 15 Minuten aus. Dann braucht <Böser Mensch> nur x*96 Attacken pro Tag zu starten, um Benutzer Y dauerhaft auszusperren.