[ASP] Zeitverzögerter Response gegen Brute-Force

Einklappen
X
 
  • Filter
  • Zeit
  • Anzeigen
Alles löschen
neue Beiträge

  • [ASP] Zeitverzögerter Response gegen Brute-Force

    Hi, ich bins mal wieder.

    Ich möchte ein im Internet erreichbares System besonders gut gegen
    unbefugten Zutritt sichern.
    Um mich in erster Linie gegen Brute-Fource Attacken zu schützen, hab ich mir
    folgende Gedanken gemacht (da diese am häufigsten angewendet werden):

    Gedanke 1
    nach etwa 30 hintereinader ungültigen Login-Eingaben wird die IP Adresse
    des Clienten gesperrt, also es werden keine Anfragen an ihn mehr beantwortet.
    Vorteil: man ist den Angreifer schnell los
    Nachteil: a) diese Methode kann man schnell aushebeln, indem man über wechelnde
    Proxis geht b) sollte ein Kunde tatsächlich mal seine Kennwörter durchprobieren,
    hat er nach 30 mal wirklich keine Chance mehr, rein zu kommen, auch wenn er
    eigentlich gültige Zugangsdaten hat!

    Gedanke 2
    Eine zeitverzögerte Antwort, wenn die Zugangsdaten ungültig sind! Also bei
    der gültigen Eingabe wird man sofort ins System gelassen, bei einer ungültigen
    dagegen wartet das System zB 2 Sekunden, bis es eine Fehlermeldung ausgibt.
    Vorteil: Brute-Force Attacken werden sinnlos, da man für jeden Versuch
    mindestens 2 Sekunden verbraucht.
    Nachteil: ich weiß nicht wie man das in ASP umsetzt
    Ich könnte natürlich eine Schleife bauen, die einfach im Hintergrund counter i
    bis 10 Millionen zählt, das dürfte einige Sekunden dauern, aber bremst solange
    den Server natürlich 100% aus *g*

    Wäre sehr dankbar, wenn ihr eine Idee hättet, wie man so einen Zeitverzögerten
    Response umsetzen kann.

    Vielen Dank
    GLORIA PERPETUA

  • #2
    Re: [ASP] Zeitverzögerter Response gegen Brute-Force

    Original geschrieben von deklarmart
    Gedanke 2
    Eine zeitverzögerte Antwort, wenn die Zugangsdaten ungültig sind! Also bei
    der gültigen Eingabe wird man sofort ins System gelassen, bei einer ungültigen
    dagegen wartet das System zB 2 Sekunden, bis es eine Fehlermeldung ausgibt.
    Vorteil: Brute-Force Attacken werden sinnlos, da man für jeden Versuch
    mindestens 2 Sekunden verbraucht.
    wunschdenken.

    dann schick ich dir halt x dutzend parallele request - auf x dutzend minus eins falsche bekomme ich nach zwei sekunden eine antwort (und zwar nach zwei sekunden insgesamt, nicht nach (x dutzend minus 1) mal zwei sekunden) - und auf die eine ggf. richtige sogar sofort.
    I don't believe in rebirth. Actually, I never did in my whole lives.

    Kommentar


    • #3
      hm, stimmt auch wieder
      aber das ist etwas mehr aufwand, oder? weil um mehrere requests mit
      einem mal zu schicken brauchts schon mehr als ein eigenes script in perl/asp/php, richtig?
      und dieser mehraufwand würde ja evt. schon leute abschrecken...

      gibts denn sonst noch irgendwelche lösungen?
      GLORIA PERPETUA

      Kommentar


      • #4
        Passwort muss:
        - lang > 10 Zeichen
        - alphanummerisch

        nach dem 3. Fehlversuch, dann bei allen weiteren Versuchen ein Bild mit einem Code einblenden und dem User den Code in ein zusätzliches Feld eintippen lassen, wobei der Code zufällig erzeugt wird. Das war's.

        Kommentar


        • #5
          ich weiß nicht, womit du bruteforce machst, ich würde sowas aber automatisiert laufen lassen, wo paralelle requests auch kein problem mehr sind!

          gruss

          Kommentar


          • #6
            Morti, sprichst du mit mir? oder mit Threadstarter?

            Kommentar


            • #7
              mit dem starter und war auf diese aussage bezonen:
              aber das ist etwas mehr aufwand, oder? weil um mehrere requests mit
              einem mal zu schicken brauchts schon mehr als ein eigenes script in perl/asp/php, richtig?
              und dieser mehraufwand würde ja evt. schon leute abschrecken...

              Kommentar


              • #8
                und ich dachte schon dass du 'n Script hast, welches mein Bild auslesen kann und ...

                Kommentar


                • #9
                  mh... bilder parsen ist dann doch nicht mehr so einfach, dass man es so einfach in ein bruteforce programm einbauen kann

                  Kommentar


                  • #10
                    stimmt, das mit dem bild ist natürlich eine feine sache! sieht man ja auch häufig


                    nochmal zu der sache mit dem verzögerten response: dafür kennt ihr
                    in ASP keine möglichkeit? also ganz unabhängig jetzt von dem projekt
                    hier! wills einfach nur wissen^^
                    in PHP scheint es sowas nämlich zu geben! denn bin ich der meinung,
                    dass es sowas bei einem browser-game mal gab, was ich gespielt habe...
                    GLORIA PERPETUA

                    Kommentar


                    • #11
                      ähm zeit-schleife? etwa so

                      dtStart = Timer
                      while Timer-dtStart<2
                      ' tut nix
                      wend
                      Response.Redirect "..."

                      ?

                      Kommentar


                      • #12
                        ja, so ähnlich. das problem an schleifen ist doch aber, das sie mit prozessor
                        taktgeschwindigkeit so oft durchlaufen, bis die bedingung zutrifft. und
                        in der zeit braucht die schleife ja ressourcen, die in dem fall zu nichts
                        verwendet werden, ist das richtig? in javascript gibts dafür ja wenigstens
                        die setTimeout funktion, die gezielt nach einer bestimmten zeit eine
                        funktion erfüllt, ohne in der "wartezeit" ressourcen zu verbrauchen.
                        ich dachte halt, das es sowas in der art geben müsste...
                        GLORIA PERPETUA

                        Kommentar


                        • #13
                          Original geschrieben von deklarmart
                          in javascript gibts dafür ja wenigstens
                          die setTimeout funktion, die gezielt nach einer bestimmten zeit eine
                          funktion erfüllt, ohne in der "wartezeit" ressourcen zu verbrauchen.
                          ich dachte halt, das es sowas in der art geben müsste...
                          Und dein Prozesser weiß, wann die x Sekunden rum sind, die du in setTimeout angegeben hats, ohne andauernd auf die Uhr schauen zu müssen?
                          Ich denke, also bin ich. - Einige sind trotzdem...

                          Kommentar


                          • #14
                            Original geschrieben von mrhappiness
                            Und dein Prozesser weiß, wann die x Sekunden rum sind, die du in setTimeout angegeben hats, ohne andauernd auf die Uhr schauen zu müssen?

                            naja, das nicht. aber was anderes als eine selbstgeschriebene schleife
                            muss es ja sein! denn man denke mal an eine endlos schleife in einem script:
                            läuft diese erstmal, geht am system fast nichts mehr (jedenfalls unter windows^^)
                            beim setTimeout hab ich das noch nicht hinbekommen...
                            GLORIA PERPETUA

                            Kommentar


                            • #15
                              und in ASP gibt's keine sleep-Funktion?
                              Ich denke, also bin ich. - Einige sind trotzdem...

                              Kommentar

                              Lädt...
                              X