Mal ne Frage an euch, wie funktioniert denn das mit dem ”Brutforcen”?
Ich meine auf den meißten Webseiten hat man nur eine geringe Anzahl von Versuchen sein Passwort einzugeben, danach wird der Zugang entweder komplett oder aber für eine gewisse Zeit gesperrt. Wie soll das also gehen?
Ich meine auf den meißten Webseiten hat man nur eine geringe Anzahl von Versuchen sein Passwort einzugeben, danach wird der Zugang entweder komplett oder aber für eine gewisse Zeit gesperrt. Wie soll das also gehen?
P
Philipp692
Gast
Es funktioniert nur, wenn dieser Schutzmechanismus umgangen wird und es eben nicht gesperrt wird.
M
Murray B.
Gast
Wenn beispielsweise die Datenbank mit den vermeintlich sicher gehashten Passwörtern wegkommt und ein Angreifer dann per Brute Force eine Liste bekannter Passwörter hasht und mit den erbeuteten Hashwerten vergleicht. Selbst ein Salt hilft da u. U. nicht viel, weil man dann mit vorberechneten Rainbow Tables doch recht schnell die Passwörter ermitteln kann.PSX-Man schrieb:
Ansonsten kann es natürlich auch sein, dass das Web-Frontend einen Bug hat, der Brute Force dann doch erlaubt. Wäre vermutlich nicht das erste Mal
Ferner kann man sich auch versuchen mittels einem anderen Protokoll anzumelden, z.B. kann man per IMAP, POP3 oder SMTP, FTP oder SSH Anmeldung statt per (hoffentlich geschützer) Webseite versuchen sich anzumelden. Auch hier kann man Limits einrichten und Accesslists einrichten, aber das hat nicht jeder auf dem Schirm... und das Passwort, was dort geht, geht dann auch evtl. am Webinterface,.... da gibt es so viele kreative Ansätze....... Mit der wichtigste ist aber auch das Social Engineering. Oder man hat ein Botnetz, jedes mit einer anderen IP-Adresse, wenn die Fehllogins nur per IP-Adresse geblockt werden, kann man mit ausreichend vielen Quell-IPs auch schon viel anstellen.
Das Thema ist verdammt vielschichtig und entsprechend vielschichtig sind die Ebenen die man absichern muss, und es ist nie die Frage ob etwas unzureichend oder gar nicht abgesichert wurde, oder ein Zero-Day Exploit existiert, sondern schlicht die frage wann es entdeckt wird - und hoffentlich war mal selbst als Betreiber schneller, oder zu uninteressant. Denn praktisch ist es immer, wenn man eine Basis findet, auf der man dann per Bruteforce ungestört tagelang zu Werke gehen kann.
Das Thema ist verdammt vielschichtig und entsprechend vielschichtig sind die Ebenen die man absichern muss, und es ist nie die Frage ob etwas unzureichend oder gar nicht abgesichert wurde, oder ein Zero-Day Exploit existiert, sondern schlicht die frage wann es entdeckt wird - und hoffentlich war mal selbst als Betreiber schneller, oder zu uninteressant. Denn praktisch ist es immer, wenn man eine Basis findet, auf der man dann per Bruteforce ungestört tagelang zu Werke gehen kann.
Zuletzt bearbeitet:
hmaker
Cadet 2nd Year
- Registriert
- Juni 2021
- Beiträge
- 18
Es gibt ja schon genügend Antworten dazu, warum ein komplexes Passwort mehr Sicherheit bietet.
Ein kleiner Exkurs zum Thema Verschlüsselung:
In der Mathematik bzw. Informatik gibt es keine natürlichen Zufälle. Die Sicherheit basiert auf Verschlüsselungsalgorithmen – z.B. dem Faktorisierungsproblem von Primzahlen. RSA basiert selbst nicht auf Zufallszahlen, allerdings werden die verwendeten Primzahlen zufällig erzeugt.
Natürliche Zufälle sind u.a. die atomare Halbwertszeit oder Lavalampen. Cloudflare experimentiert gerade mit Lavalampen und sichert auch schon einen Teil der eigenen IT-Infrastruktur damit ab. Wirklich!
Ein kleiner Exkurs zum Thema Verschlüsselung:
In der Mathematik bzw. Informatik gibt es keine natürlichen Zufälle. Die Sicherheit basiert auf Verschlüsselungsalgorithmen – z.B. dem Faktorisierungsproblem von Primzahlen. RSA basiert selbst nicht auf Zufallszahlen, allerdings werden die verwendeten Primzahlen zufällig erzeugt.
Natürliche Zufälle sind u.a. die atomare Halbwertszeit oder Lavalampen. Cloudflare experimentiert gerade mit Lavalampen und sichert auch schon einen Teil der eigenen IT-Infrastruktur damit ab. Wirklich!
Prometheus27
Ensign
- Registriert
- Dez. 2019
- Beiträge
- 153
Ein kleinen Einstieg, wie man Passwörter knackt und warum viele Passwörter unsicher sind gibt es hier in einem Video von Computerphile:
