php-resource



Zurück   PHP-Scripte PHP-Tutorials PHP-Jobs und vieles mehr > Entwicklung > PHP Developer Forum
 

Login

 
eingeloggt bleiben
star Jetzt registrieren   star Passwort vergessen
 

 

 


PHP Developer Forum Hier habt ihr die Möglichkeit, eure Skriptprobleme mit anderen Anwendern zu diskutieren. Seid so fair und beantwortet auch Fragen von anderen Anwendern. Dieses Forum ist sowohl für ANFÄNGER als auch für PHP-Profis! Fragen zu Laravel, YII oder anderen PHP-Frameworks.

Antwort
 
LinkBack Themen-Optionen Thema bewerten
  #16 (permalink)  
Alt 17-08-2008, 23:26
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Als Hacker gibt es einige Dinge die einen Brute-force Angriff über ein Formular praktisch unmöglich machen:

1. IP speichern und nach 3x falsch 10 Minuten sperren (schon oft genannt und einfach zu umgehen, aber trotzdem doof für den Hacker, denn das zu umgehen braucht seinen Rechner Zeit)
2. Bei 5(oder 10)maliger falscher Eiingabe bei einem Konto (hintereinander) das Konto 10 Minuten sperren (nicht zu umgehen über ein Formular)
3. Eine Verzögerung von 3 Sekunden nach jeder falschen Eingabe (nicht zu umgehen, wurde schon genannt)
4. Möglichkeit (etwas anders) Die Zeit und ein dazugehöriger Schlüssel (es reicht eine relativ einfache Verschlüsselung mit 8 Zeichen und der Hacker wird verzweifeln) werden beim Betreten der Seite generiert. Die Zeit muss > time()-180 sein und der Schlüssel muss korrekt sein (alleine nicht sehr sicher, aber trotzdem sehr nervig)

Wenn du dies alles machst wird schon ein "gutes" 6-stelliges Passwort ausreichen und der Brute-Force Angriff dauert 5-10 Jahre.
Mit Zitat antworten
  #17 (permalink)  
Alt 17-08-2008, 23:50
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von jmc
Als Hacker gibt es einige Dinge die einen Brute-force Angriff über ein Formular praktisch unmöglich machen:

1. IP speichern und nach 3x falsch 10 Minuten sperren (schon oft genannt und einfach zu umgehen, aber trotzdem doof für den Hacker, denn das zu umgehen braucht seinen Rechner Zeit)
2. Bei 5(oder 10)maliger falscher Eiingabe bei einem Konto (hintereinander) das Konto 10 Minuten sperren (nicht zu umgehen über ein Formular)
3. Eine Verzögerung von 3 Sekunden nach jeder falschen Eingabe (nicht zu umgehen, wurde schon genannt)
4. Möglichkeit (etwas anders) Die Zeit und ein dazugehöriger Schlüssel (es reicht eine relativ einfache Verschlüsselung mit 8 Zeichen und der Hacker wird verzweifeln) werden beim Betreten der Seite generiert. Die Zeit muss > time()-180 sein und der Schlüssel muss korrekt sein (alleine nicht sehr sicher, aber trotzdem sehr nervig)

Wenn du dies alles machst wird schon ein "gutes" 6-stelliges Passwort ausreichen und der Brute-Force Angriff dauert 5-10 Jahre.
Der Großteil der Tipps funktioniert nur, wenn du davon ausgehst, dass der Hacker brav seine IP, seine Cookies und/oder seine Sessions behält. So nett sind aber die wenigsten. Meistens geschieht sowas mit speziellen Tools, die jede Verbindung über eine andere IP aufbauen und deshalb für den Server bzw. die Software wie ein komplett neuer unbekannter Besucher aussehen.

Und die Rechenzeit ist das aller geringste Problem. Der Flaschenhals ist die Internetverbindung. Je nachdem welche langsamer ist, entweder die vom Server oder die vom Hacker. Aber Hacker werden vermutlich eher parallel gleichzeitig auf mehreren Rechner ihre Tools starten, die auch eine unabhängige Internetverbindung haben. Dann bleibt natürlich die Frage ob der Hacker eher versteckt agieren möchte oder brutal alles hochfährt, was er zu bieten hat. Letzteres ist natürlich effektiver, aber auch deutlich auffälliger (wenn zB. die Serverlast plötzlich auf das mehrfache ansteigt).

Und wie gesagt, wenn ein Hacker klug ist versteift er sich nicht auf einen einzigen Account, sonder streut großflächig seine Versuche. Das heißt wenn du 10.000 Benutzer auf deinem System hast und du blockierst einen davon für 10 Minuten, hat der Hacker in den 10 Minuten zeit 9.999 andere Benutzeraccounts zu hacken.

Das sinnvollste ist IMHO, wenn das System wirklich nur Passwörter zulässt, die einen ausreichenden Schutz bieten. Somit laufen die Wörterbuchangriffe ins Leere und Brute-force ist einfach zu langwierig und bandbreitenfressend, als das es sich auszahlen würde.
Mit Zitat antworten
  #18 (permalink)  
Alt 18-08-2008, 00:31
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

Alle ausser dem 1. benötigen keine IP und kein Cookie.
Bei dem Versuch alle anderen 9999 Accounts zu hacken werden diese auch alle für 10 Minuten gesperrt also was nützt dir das? Das heisst du hast nur 10 Versuche pro 10 Minuten pro Account.
Bei sechs Zeichen sind es sum(62^k, k, 0, 6) Möglichkeiten also 57731386986 das kannst du meinetwegen durch 10000 oder 100000 Teilen (da sicherlich nicht alle Möglichkeiten ausprobiert werden müssen)
Das wären bei einem Versuch pro Minute aber immer noch 577313 Minuten also 66 Jahre. Und dazu hast du noch die anderen Möglichkeiten insbesonder der Schlüssel, der bereits alle Hacker entweder zwingt die Loginseite immer auszulesen, das schaffst du mit heutigen Möglichkeiten einfach noch nicht.
Mit Zitat antworten
  #19 (permalink)  
Alt 18-08-2008, 01:09
3DMax
 PHP Senior
Links : Onlinestatus : 3DMax ist offline
Registriert seit: Jan 2004
Beiträge: 1.916
3DMax ist zur Zeit noch ein unbeschriebenes Blatt
Standard

Zitat:
Original geschrieben von jmc
Bei dem Versuch alle anderen 9999 Accounts zu hacken werden diese auch alle für 10 Minuten gesperrt also was nützt dir das? Das heisst du hast nur 10 Versuche pro 10 Minuten pro Account.
ein versuch pro account ist ausreichend um ca. 250 von 10.000 zu knacken. von einem botnetz mit verschiedenen ips greift die ip-sperre ja nicht..

Zitat:
Passwortdaten von Flirtlife.de kompromittiert
Auffällig ist die starke Häufung der Ziffernfolge 1234, mit der insgesamt rund 2,5 Prozent aller Passwörter beginnen: Ein blinder Log-in-Versuch mit "123456" führt in fast 1,4 Prozent der Fälle zum Erfolg.
von daher:
Zitat:
Original geschrieben von h3ll
Das sinnvollste ist IMHO, wenn das System wirklich nur Passwörter zulässt, die einen ausreichenden Schutz bieten. Somit laufen die Wörterbuchangriffe ins Leere und Brute-force ist einfach zu langwierig und bandbreitenfressend, als das es sich auszahlen würde.
Mit Zitat antworten
  #20 (permalink)  
Alt 18-08-2008, 08:20
UzumakiNaruto
 Registrierter Benutzer
Links : Onlinestatus : UzumakiNaruto ist offline
Registriert seit: Nov 2004
Beiträge: 642
UzumakiNaruto befindet sich auf einem aufstrebenden Ast
Standard

das passwort ist entscheined .. da stimme ich max vollkommen zu.

OffTopic:
und es heißt nicht hacker, sondern cracker .. man beachte die definition
__________________
Gruß
Uzu

private Homepage
Mit Zitat antworten
  #21 (permalink)  
Alt 18-08-2008, 09:33
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von jmc
Alle ausser dem 1. benötigen keine IP und kein Cookie.
Bei dem Versuch alle anderen 9999 Accounts zu hacken werden diese auch alle für 10 Minuten gesperrt also was nützt dir das?
Das heißt, sobald jemand 10mal sein Passwort falsch eingibt, sperrst du ALLE Accounts? Stell dir vor Amazon würde sowas machen, dann könnte sich nie jemand einloggen, weil ständig irgendwelche Dussel ihr Passwort vergessen haben oder Möchgernhacker ihr Script laufen haben.
Mit Zitat antworten
  #22 (permalink)  
Alt 18-08-2008, 12:52
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

@h3ll: Wer lesen kann ist klar im Vorteil und für die Zitation gilt, dass Weglassungen nicht den Sinn einer Aussage verändern dürfen.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #23 (permalink)  
Alt 18-08-2008, 12:59
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Wenn du nur einzelne Account sperrst, kann der Hacker in der Zwischenzeit auf alle anderen Accounts losgehen. Also was willst du jetzt?
Mit Zitat antworten
  #24 (permalink)  
Alt 18-08-2008, 13:13
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Original geschrieben von jmc
Bei dem Versuch alle anderen 9999 Accounts zu hacken werden diese auch alle für 10 Minuten gesperrt also was nützt dir das? Das heisst du hast nur 10 Versuche pro 10 Minuten pro Account.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #25 (permalink)  
Alt 18-08-2008, 13:24
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Sind aber immer noch 100.000 Versuche pro 10 Minuten, was doch relativ viel ist (167 Versuche pro Sekunde). Damit sollte man innerhalb weniger Minuten einen Account treffen, der ein sehr einfaches Passwort verwendet.

Und wie ich bereits gesagt habe, ist der (IMHO) einzig wirksame Schutz erst gar keine einfachen Passwörter zuzulassen. Denn dann (habe ich auch schon gesagt) laufen die Wörterbuchangriffe ins Leere und es bleibt nur mehr die Brute-Force Methode, die aber sehr aufwändig und langwierig ist und die Erfolgsaussichten sehr gering sind.
Mit Zitat antworten
  #26 (permalink)  
Alt 18-08-2008, 13:47
TobiaZ
  Moderator
Links : Onlinestatus : TobiaZ ist offline
Registriert seit: Jan 2001
Ort: MUC und MGL, Germany
Beiträge: 34.421
Blog-Einträge: 1
TobiaZ befindet sich auf einem aufstrebenden Ast
Standard

Zitat:
Sind aber immer noch 100.000 Versuche pro 10 Minuten, was doch relativ viel ist (167 Versuche pro Sekunde). Damit sollte man innerhalb weniger Minuten einen Account treffen, der ein sehr einfaches Passwort verwendet.
Wie du vielleicht bemerkt hast, diskutiere ich hier auch gar nicht mit. Ich habe dich lediglich darauf aufmerksam gemacht, dass deine Aussage "Ein angegriffener Account sperrt alle" falsch war.

Zitat:
Und wie ich bereits gesagt habe, ist der (IMHO) einzig wirksame Schutz erst gar keine einfachen Passwörter zuzulassen. Denn dann (habe ich auch schon gesagt) laufen die Wörterbuchangriffe ins Leere und es bleibt nur mehr die Brute-Force Methode, die aber sehr aufwändig und langwierig ist und die Erfolgsaussichten sehr gering sind.
Du merkst es ja selber, in diesem Thread wird sich laufend wiederholt.
__________________
ERST LESEN: Unsere Regeln. | Ich hab schon Pferde kotzen sehn!

READ THIS: Strings richtig trennen/verbinden | JOINs, das leidige Thema | Wegwerf E-Mail Adressen

Ich werde keinen privaten 1:1 Support leisten, außer ich biete ihn ausdrücklich an.

Wenn man sich selbst als "Noob" bezeichnet, sollte man die Finger davon lassen.
Wenn man gewillt ist daran etwas zu ändern, lernt man Grundlagen!
Mit Zitat antworten
  #27 (permalink)  
Alt 18-08-2008, 15:27
jmc
 PHP Junior
Links : Onlinestatus : jmc ist offline
Registriert seit: Mar 2006
Beiträge: 868
jmc befindet sich auf einem aufstrebenden Ast
Standard

@h3ll

Ich kann dir ein Form mit den oben genannten Sicherheitsvorkehrungen erstellen, mit 10000 Accounts und jeweils ein Passwort von 6-8 Zeichen mit mindestens 1em Grossbuchstaben, 1em Kleinbuchstaben und 1er Zahl. Die Zeichen " _-.öäüÄÖÜ" sind ebenfalls erlaubt. Die Benutzernamen bestehen nur aus Gross und Kleinbuchstaben, 8-12 Zeichen.
Ich gehe meinetwegen sehr gerne die Wette ein, dass du das innerhalb eines Monates nicht schaffst.
Meinetwegen auch mit 100k statt 10k Accounts, aber dann wirds noch schwerer für dich werden, da dann evtl die gratisdatenbank, welche ich erstellen würde überfordert würde.
Deine 167 Versuche pro Sekunde bringen dir da gar nichts, denn du brauchst bei so vielen Accounts trotzdem bei einem Einzelnen Account die bestimmte Anzahl Versuche.
Mit meinen Angaben hast du auch schon mehr Vorgaben, als dass du es im Normalfall hast, also sollte es "noch einfacher" für dich sein.

Dass keine "einfachen Passwörter" benutzt werden sollen ist natürlich klar. Deswegen habe ich auch "ein "gutes" 6-stelliges Passwort" geschrieben. Das heisst z.B. 2 Zahlen, 2 Grossbuchstaben, 2 Kleinbuchstaben.
Mit Zitat antworten
  #28 (permalink)  
Alt 18-08-2008, 15:34
h3ll
 Registrierter Benutzer
Links : Onlinestatus : h3ll ist offline
Registriert seit: Mar 2008
Beiträge: 3.578
h3ll befindet sich auf einem aufstrebenden Ast
Standard

Bitte lies nochmal, was ich geschrieben habe. Ich hab bereits gesagt, dass "schwere" Passwörter ein guter Schutz sind.
Mit Zitat antworten
Antwort

Lesezeichen


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 

Themen-Optionen
Thema bewerten
Thema bewerten:

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are an


PHP News

ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlicht
ebiz-trader 7.5.0 mit PHP7 Unterstützung veröffentlichtDie bekannte Marktplatzsoftware ebiz-trader ist in der Version 7.5.0 veröffentlicht worden.

28.05.2018 | Berni

Wissensbestand in Unternehmen
Wissensbestand in UnternehmenLebenslanges Lernen und Weiterbilden sichert Wissensbestand in Unternehmen

25.05.2018 | Berni


 

Aktuelle PHP Scripte

PHP Server Monitor

PHP Server Monitor ist ein Skript, das prüft, ob Ihre Websites und Server betriebsbereit sind.

11.09.2018 Berni | Kategorie: PHP/ Security
PHP WEB STATISTIK ansehen PHP WEB STATISTIK

Die PHP Web Statistik bietet Ihnen ein einfach zu konfigurierendes Script zur Aufzeichnung und grafischen und textuellen Auswertung der Besuchern Ihrer Webseite. Folgende zeitlichen Module sind verfügbar: Jahr, Monat, Tag, Wochentag, Stunde Folgende son

28.08.2018 phpwebstat | Kategorie: PHP/ Counter
Affilinator - Affilinet XML Produktlisten Skript

Die Affilinator Affilinet XML Edition ist ein vollautomatisches Skript zum einlesen und darstellen der Affili.net (Partnerprogramm Netzwerk) Produktlisten und Produktdaten. Im Grunde gibt der Webmaster seine Affilinet PartnerID ein und hat dann unmittelb

27.08.2018 freefrank@ | Kategorie: PHP/ Partnerprogramme
 Alle PHP Scripte anzeigen

Alle Zeitangaben in WEZ +2. Es ist jetzt 14:52 Uhr.