hallo,

ich frage mich ob mit einem einfachen sleep(2); im logincode das bruteforce verfahren ausbremsen kann.

man würde sozusagne nur eine abfrage pro 2 sec machen können. oder werden die abfragen dann parallel bearbeitet?

gruß
dmx

Mister Ad

pepe24

Der Sleep-Befehl ist imho ein sehr effektives Werkzeug gegen nervige Cracker.

Wenn die Gefahr besteht, dass Du von derartigem heimgesucht wirst, hilft auch ein Captcha beim Login. Damit ist es dem Übeltäter unmöglich, ein automatisiertes Bruteforce Verfahren einzusetzen.

Gruß

Flor1an

Mal abgesehen von deiner Frage. Es ist doch viel effektiver wenn du beim User nach 3 Fehllogins den Login für 5 Minuten sperrst. Das mit sleep(); würde ich nicht machen. Stell dir vor du musst 2 Sekunden warten bis die Seite endlich geladen wird ...

pepe24

Naja, also beim Login 2 Sekunden zu warten ist verkraftbar. Eigentlich reicht ja auch schon eine Sekunde um die Angelegenheit für den Missetäter sehr langwierig zu gestalten.

Nicht immer. Abhängig davon, was für ein System Du hast. In Foren o.ä., wo man die Benutzernamen einsehen respektive in eine Liste aufnehmen könnte, kann man dann mit geringsten Mitteln den gesamten Betrieb lahmlegen.
Bei Systemen mit nicht frei einsehbaren Benutzernamen scheint das allerdings auch eine gute Alternative zu sein.

hör mir auf mit captcha.^^ ein purer fun- und userkiller! benutzerunfreundlicher gehts wohl kaum noch.

hab mir das mit einem freischaltelink überlegt, bei einem browsergame ist aber einbissel dumm, die würden sich mit freischaltelink bekämpfen, damit der andere für ein paar entscheidende mins keinen zugang hat.^^

dich will ich auch die DB (deutsche bahn) warten sehen.^^
wenn diese 2sec NUR beim login sind, dann macht es gar nix aus wie ich finde. probiers einfach mal aus^^


dmx



EDIT: also würde sleep() so funktionieren wie ich es mir vorstelle (die zeit verlängern)??

pepe24

Die Frage galt einem effektiven Schutz gegen Bruteforce-Attacken, oder habe ich mich verlesen?

Scheinst Dich ja auszukennen!

nein, die frage war: nutzt sleep() was oder macht es bruteforce progs nix aus...

pepe24

Was soll man darauf noch entgegnen...

Die Antwort hast Du ja jetzt.


Gruß

robo47

Also um es mal hier kurz zusammenzufassen, ein sleep im Quellcode würde bedeuten, dass die HTML-ausgabe 2 sekunden später erfolgt als sonst, ein vernünftiges bruteforce-script wird wohl sicher mit mehr als einem Thread arbeiten, also von daher sinnlos, weil mehrer Anfragen parallel erfolgen.

Wenn ich bruteforce verhindern will, überlege ich mir als erstes was der User bruteforcen will, einen bestimmten account ? dann wie schon vorgeschlagen eine Sperre rein, die nach 3 falschen Logins 5 minuten pause macht und nach 10 falschen Logins wird der Account gesperrt, Email an den User gesendet mit Link zum freischalten.
Geht es allgemein um Bruteforce, sollte man sich was suchen, womit man den User VIELLEICHT identifizieren kann, dabei am VERLÄSSLICHSTEN wäre wohl die IP (ausser der andere nutzt AOL, proxies oder ähnliches), eine IP einfach sperren wenn mehr als XX falsche Logins von der IP kamen (auch mit ner Info + Kontaktformular wo man sich vielleicht wieder freischalten lassen kann).

Auch nützlich sind Captchas wie schon angesprochen, Userkiller müssen die nicht unbedingt sein, wenn man mal von dem Standard-Bilder-Kram abkommt und z.b. Tierbilder nimmt, oder Rechenaufgaben, da muss man nicht einmal ein Bild nutzen.

__________________
robo47.net - Blog, Codeschnipsel und mehr
| Caching-Klassen und Opcode Caches in php | Robo47 Components - PHP Library extending Zend Framework

hmm, das mit der IP sperrung finde ich jut. auf die idee kam ihc noch nicht. so werde ich das auch glaube ich einrichte.^^ danke

dmx