Warum wird der Zugriff auf das web.de-Emailkonto bei mehr als 2 falschen Passworteingaben nicht gesperrt?
So haben Angreifer doch leichtes Spiel alle Kombinationen durchzuprobieren.
4 Antworten
So haben Angreifer doch leichtes Spiel alle Kombinationen durchzuprobieren.
passt nicht zur Prämisse:
Warum wird der Zugriff auf das web.de-Emailkonto bei mehr als 2 falschen Passworteingaben gesperrt?
Wie sollen sie denn alle Kombinationen ausprobieren, wenn das Konto bereits beim 2. Fehlversuch gesperrt wird?
Kann es sein, dass da in Deinem Satz ein Wort ("nicht") fehlt?
Nein, so einfach ist das nicht. Es gibt je nach Passwortstärke Millionen bis Milliarden an Kombinationen. Brutforce setzt nicht nur voraus, dass man unendlich Versuche hat, sondern dass man sie extrem schnell ausprobieren kann, weil es sonst Millionen Jahre dauern würde.
Und genau am letzteren scheitert es, weil man vom Server direkt geblockt wird, wenn man hunderte Anfragen in einer zu kurzen Zeit macht.
Aber nur zur Info, auch ohne diese Einschränkung ist Brutforce aber einer bestimmten Passwortlänge einfach nicht mehr machbar, weil es zu viele mögliche Kombination gibt.
Da das zur Abwehr von Brute Force oder Wordlsit Angriffen garnicht nötig ist.
Ein guter Filter gegen sowas ist normalerweise so konfiguriert, daß ein normaler Benutzer diesen quasi niemals auslösen kann, er aber bei Bots möglichst früh anspricht.
Alternativ geht auch ein Timeout von z.B. 5 Sek nach jeder Eingabe (ggf. auch ansteigend auf bis z.B. 5 Min bei sehr häufiger Falscheingabe (z.B. 50 Mal), da kannst du dann auch nichtmehr effektiv brutforcen.
Die Frage erscheint nicht sinnvoll. Durch die Passwortsperre wird gerade verhindert, dass auf eine Brute-Force-Methode zurückgegriffen und viele Passwörter in geringer Zeit getestet werden können.