BruteForce Schutz?

[Re-Amun]

1 Jahr? hmm früher hat man da noch länger als das Universum gebraucht ... *kopfkratz*.

Mal davon abgesehen schätze ich mal, dass der CIA Knacker (also der rechner, nicht der Spezialist) das in nen paar Minuten knackt.

NUR: Das ist nen bischen unrealistisch . Ich schätze mal nicht, dass jemand tatsächlich hier versucht professionell einzubrechen; und erst recht nicht die CIA (weil das auch nicht ihr Revier ist ) [Anmerkung: Nein, der BND will auch nicht an eure Accs ^^)

Hmm... aber bei so einem Pw ist der Acc gegen Brute-Force hinreichen geschützt würde ich sagen... dafür sind die Daten zu ähm unwichtig.

Achja: Ehe jetzt irgendwelche Leute versuchen bei mir einzubrechen: Mein pw ist genau in diesem Stil gehalten, aber natürlich nicht so kurz .

[mopf]

Mal davon abgesehen schätze ich mal, dass der CIA Knacker (also der rechner, nicht der Spezialist) das in nen paar Minuten knackt.

faalsch... der bräuchte ebenso recht lange, das die passwörter auf dem server liegen.. also dauert es dementsprechend. die rechenleistung des cia rechenclusters ist dabei nicht wirklich von belang

desweiteren wird der rechner das schon mitbekommen, wenn sich da einer zu schaffen amcht und nen paar hundert pw hinschickt.. doof sind die admisn auch net (meistens :p )

[Re-Amun]

Du hast recht.. hatte ich nicht bedacht. Aber wenn nun der Fall eintritt, dass.... (siehe ICQ)

[mopf]

technisch nicht möglich.. da bräcuhte man das pw oder das root pw vom server..

[Delwohtar]

ich glaube wenn du paar mal ein falsches pw eingegeben hast kannste dich 15minuten mit überhauptkeinem acc auf der welt einloggen dann kommt immer das gleiche fenster egal ob richtig oda net.

[Prinegon]

Jetzt mal ehrlich Leute: Mag sein, daß Jugendliche sogar genügend kriminelle Energie aufbringen, für einen Spielaccount Brute Force zu versuchen. Doch selbst sollten sie Erfolg haben, wird sich das doch sicherlich klären lassen. Eine einfache Frage an den Support: Kann es sein, daß jemand seit gestern sich mehrere tausend mal versucht hat, mit falschem Passwort einzuloggen? Ja? Glaubt ihr mir nun, daß ich mein Passwort nicht verraten habe? Sollte wohl dafür ausreichen, daß man versucht, den alten Stand wiederherzustellen, oder?
Nun zu den berühmten 3 Eingaben. Wie Benutzerunfreundlich, den Wert so tief zu setzen. Um sich vor Brute Force zu schützen kann man den Wert auch auch 100 verkehrte Eingaben /h setzten. Mal ehrlich, Brute Force ist f.A. wenn man nur 100 Versuche die Stunde hat, damit knackt man dann vielleicht noch Passwörter wie: Passwort, Monitor, Lieschen oder Freewar (wer sein Passwort hier sieht, sollte UMGEHEND sein Passwort in ein mindestens 8 Zeichen langes alphanumerisches Passwort ändern).
Ich empfinde die Passwortvergabe in diesem Spiel schon als recht sicher. Kenn dort ganz andere Spiele (wo man beispielsweise ein Passwort eingibt, die Frage, sind die Eingaben korrekt, wird MIT unverschlüsseltem Passwort gestellt, in der Bestätigungsmail wird einem das Passwort auf 15 Zeichen gekürzt zugesand, in Wirklichkeit ist das Passwort aber auf 13 Zeichen gekürzt worden.

[Daysleeper]

Was ich noch sagen wollte: Ein profi-hacker WÜRDE es sicherlich irgendwie schaffen... aber ich denke nicht das es solche hierhier verschlägt ^^

[mopf]

es wäre wahrscheinlich nicht einmal allzuschwer.. allerdings müsste die brute-force attacke dann anders durchgeführt werden .. allerdings könnte man das dann recht schnell nachvollziehen und der aufwand stände in keinem verhältnis zum gewinn .. oder andersrum ^^

[Tiramon]

also ich denke die bisher gehackten accounts wurden in den seltensten fällen durch bruteforce gehackt

die gängisten Fälle sind und bleiben
- jemand anders kennt das passwort
- es ist ein viel zu simples passwort was leute die einen kennen erraten können (name der freundin oder des haustieres etc.)
- jemand hatte zugang zu der email die im account eingetragen ist
- der besitzer hat gar selbst die email von jemand anderem in seinen account eingetragen
- das Passwort wurde an einem Rechner im Browser gespeichert zu dem andere Leute zugang hatten (vorsicht manchmal machen browser das auch als standart ohne zu fragen)

gibt sicher noch zig ähnliche fälle ... aber das waren jetzt gerade so die hauptpunkte die mir einfallen

[ganymede]

an was wollt ihr denn bitte die "nach so und soviel falschen eingaben kann man sich nicht mehr einloggen" binden?

a) an die ip?
b) an den zu knackenden login

a) iss doof, weil, najo das fuehren wir hier nich tiefer aus, es geht einfach nich
b) wollt ihr das wirklich? na prost mahlzeit. Dann weiss ich also, was ich machen muss, damit sich jemand nicht mehr einloggen kann.

kurzum. geht so nich.

grafikbildchen beim login waer ne moeglichkeit. bruteforce per menschenhand iss ja fast gestattet Zu mindest wuerd dann kein handelsueblicher durchprobierer out of the box funktionieren und man muesste doch viel viel hirnschmalz investieren, um aus der grafik wieder den/die passenden Texte zu extrahieren, die man mit eingeben muss. Wer das kann und die zeit dafuer hat, besorgt sich das passwort auf andere weise.

just my 2cent.

[fireburn]

Wenn jemand Zugriff auf die Datenbank erhält, könnte derjenige sowieso die Passwörter fast aller User bekommen, denn zu md5 hashes lassen sich heutzutage in überschaubarer Zeit funktionierende Passwörter generieren. Desweiteren existieren Datenbanken mit den hashes von allen Buchstaben/Zahlen Kombinationen, die maximal 8 Zeichen lang sind. Das einzige was hilft ist und bleibt lange PWs zu wählen, am besten mit Sonderzeichen.

[mopf]

und wie imemr: der sinn des ganzen? leute, die ds können und die in der lage dazu sind haben keinen grund da doch mehrere stunden arbeit zu investieren... die haben lohnendere und reputationsbringendere ziele.. apache server sind ein alter hut.. und php passwörter wahrscheinlich auch