Passwort + Captcha soll Brute Force verhindern

Datenschutz Zwei Forscher haben einen neuen Vorschlag unterbreitet, wie Logins für verschiedene Web-Angebote oder auch andere Anwendungen mit Passwort-Schutz effektiv gegen Brute-Force-Attacken geschützt werden können. mehr...

Diese Nachricht vollständig anzeigen.

Jetzt einen Kommentar schreiben
 
ach und es lässt sich keine ocr software für die nach einem schema erstellten captchas schreiben? wie naiv...
mir gehen captchas oft auf n sack, unleserlich, oft nicht barrierefrei und einfach nur lästig. man kann etwas auch zutode schützen, indem man die leute so gar nich mehr ran lässt.
 
@Rikibu: stimmt.. dafuer gibts ja dann captchatrader :)
 
@Rikibu: außerdem: warum die Logins nicht einfach schützen, indem nach jeder falschen passwort-Eingabe zB. 30 Sekunden gewartet werden muss? Schon wäre Bruteforcing so zeitaufwändig, dass es nicht mehr realisierbar wäre.
 
@gueste: Reconnects sind für Bots aber das geringste Problem. Die haben dann alle Paar Sekunden eine neue IP.
 
@gibbons: Warum die Zeitdauer an die IP knüpfen und nicht an den Account selbst? Wenn versucht wurde, sich in Account x einzuloggen (mit einem falschen Passwort), dann kann sich eben erst 30 Sek später wieder in Account X eingeloggt werden - da helfen dann auch Reconnects nichts.
Problem ist natürlich, dass man selbst nicht in den Account kommt, wenn ein Bot ständig die Zeitsperre auslöst. Könnte man mit einer IP-Whitelist realisieren, bei welchen IPs die Zeitsperre nicht gilt. Aber das bringt nur was, wenn man eine statische hat.
 
@gueste: Weil du dann den jenigen aussperren würdest, dem ACC tatsächlich gehört. Da das wird ja super, du kommst an deiner Daten nicht ran, weil sich jemand dran versucht hat. Klasse.
 
@gibbons: Jo bin darauf grad noch eingegangen ;-)
 
@gueste: Ist also kurzfristig keine Lösung.
 
@gibbons: Mann könnte für den Fall, dass man in den eigenen Acc nicht reinkommt, weil die Zeitsperre durch Bots dauernd ausgelöst wird, zusätzlich auch noch einen 2. Login anbieten, welcher unter einer URL abrufbar ist, die nur der jeweilige User selbst kennt. Dieser persönliche Login hat dann keine Zeitsperre.
 
@gueste: man könnte auch einfach dem admin bescheid sagen und den bot bannen und gleich die ip an die zuständige polizeistelle weiterleiten?
 
@gueste: Und wie soll diese URL aussehen? url.domain/login.php?93nfd893jf39348gfhfw9efeg33jj3993!"§$%&/jw... Ich wünsche viel Spaß beim auswendig lernen.
 
@gibbons: Die wird dann eben als Lesezeichen gespeichert oder an die Windows Taskbar gepinnt ... Mensch, stell dich doch nicht so an, bei Rapidshare URLs hat auch niemand Probleme damit, die irgendwo abzuspeichern.
 
@gueste: Ich stelle mich nicht an, ich sehe das nur nicht als Sicherer. Rapidshare URLs sind auch alles andere als Sicher, von den Accounts ganz zu schweigen.
 
@gibbons: Natürlich ist das sicher, wenn es eine URL ist, die nur der betreffende User kennt, und dieser User sie auch für sich behält. Genau nach diesem Prinzip funktioniert in diversen Cloud-Services (zB Google Docs) auch das Filesharing, man kann zB. einstellen, dass jeder, der den Link besitzt, Zugang zur Datei bekommt. Und hier ist es eben der Login. Aber ok, dann halten wir eben noch fest, dass die Verbindung über HTTPS von statten gehen sollte, und dass der User sich nicht in einem öffentlichen oder ungesicherten WLAN befinden sollte. Zufrieden?
 
@gueste: Willst du dir jetzt ein halbes Dutzend URL's merken um an deine Daten heran zu kommen? Überlege doch mal was du da verlangst! Ich habe nicht überall meine Lesezeichen mit mir. Der Login muss einfach und unkompliziert zu erreichen sein. Wenn wir aus Logins eine Wissenschaft machen, ist das Cloud Geschäft schon tot. Für einige ein Segen für andere nicht.
 
@gibbons: Für sowas wird zB. Google Chrome entwickelt, damit du überall Zugang zu deinen Browserdaten hast, egal welcher PC. Und die Autovervollständigung der aktuellen Browser ist sicherlich imstande, die Login-URL automatisch zu vervollständigen, wenn du sie einmal zuvor aufgerufen hast. Lautet sie xxx.com/login/hd324rhf8f3jhneu/ dann gibst du eben xxx.com/login/ ein und der Browser vervollständigt sie automatisch. Ist doch nicht zuviel verlangt oder?
 
@gibbons: Davon abgesehen, vergiss nicht, dass der persönliche Login nur für Notfälle wäre, wenn der reguläre wegen Brutforce-Attacken zeitlich dauernd gesperrt ist.
 
@gueste: Und wenn ich nun aber keinen Chrome nutz? Wir haben drei große Browser auf dem Markt. Firefox, IE und von mir aus zählen wir auch Chrome dazu. Anständig wie wir sind, ist auch Opera kein Namenloser. Eine Lösung darf definitiv nicht sein mich im Internet Softwareabhängig zu machen. Dann würde nämlich der Sinn 'alles von überall' nicht mehr existieren.
 
@gibbons: Die anderen Browser bieten auch Autovervollständigung. Und irgendwann zwangsweise auch Cloud Services (wenns nicht eh schon der Fall ist bei manchen). Du solltest ein wenig über den Tellerrand und in die Zukunft blicken.
 
@gueste: ich glaube ich bin nicht der jenige, dem es an Sichtweite mangelt. Weil ich habe Cloud verstanden, im Gegensatz zu dir. Cloud heißt, nach meinem Verständnis, von keinem Softwaredienst abhängig sein. Alles ist unabhängig vom Klienten im Browser zu erledigen. In dem Moment, wo ich meine Lesezeichen an die Browsersoftware verknüpfe, ist es nicht mehr Cloud. Damit ist das nur noch ein netter Dienst.
 
@gibbons: "Cloud heißt, nach meinem Verständnis, von keinem Softwaredienst abhängig sein." - Tja, dann ist dein Verständnis hier falsch. Denkst du, die Cloud-Services laufen ohne Software? Cloud bedeutet nur, dass die Software nicht mehr bei dir lokal, sondern dezentral läuft und du immer und überall Zugang zu deinen Daten (z.B. Bookmarks, Verlaufsliste, Dokumente, etc.) und den Services bekommst (Internetzugang vorausgesetzt). Ich weiß, was Cloud bedeutet, ich studiere u.a. in dieser Richtung.
 
@gueste: Ich glaube wie sollten die Ansichten des anderen akzeptieren und es dabei belassen. Wir haben eine grundsätzlich andere Einstellung zu dem Thema. Wir sollten es lassen. Mit studieren machst du dir bei mir kein Eindruck. Ich weiß auch was Cloud bedeutet. Cloud bedeutet unabhängig vom Klienten zu sein.
 
@gueste: ich versteh unter Cloud dasselbe ;) aber davon abgesehen verstehe ich nicht wo gerade euer Problem liegt. Es geht um einen Notzugang, der ist irgendeine komplizierte URL die sich eh keiner merkt, die man per Email bekommt und zuhause in Thunderbird oder so gespeichert hat. Und wenn es ein Dienst ist, der so unglaublich wichtig ist, das man ihn von überall braucht aber auch gleichzeitig so unglaublich schütztenswert, dass man dort Brute-Force Attacken befürchten muss (was mir einfällt ist das allerhöchstens der Email Account), bleibt immernoch die Möglichkeit sich das als Lesezeichen auf einem freehoster in einem Passwortgeschützten Bereich zu machen. Und wenn jemand deinen Account hacken will, dazu weiß auf welchem freehoster unter welchem Namen in welchem Ordner man das gespeichert hat, dann hat man glaube ich ganz andere Probleme mit seiner Sicherheit.
 
@LaberLu: Da stimm ich dir voll und ganz zu :-) Wie oft würde es wohl vorkommen, dass man wegen Bruteforcing nicht in seinen Acc kann? :-)
 
@gueste: ...Oder so wie Google es jetzt gemacht hat mit 2 step verification. Man muss sich erst einen Code generieren / per SMS oder ANruf bekommen, bevor man im Account ist. So kann jeder mein Passwort wissen, aber nichts damit anfangen...
 
@moe.: Stimmt... ist aber im Alltag ziemlich aufwändig und erschwerend kommt hinzu, dass sich normalsterbliche Betreiber einer Webapplikation so eine SMS-Verifikation / Verschickerei wahrscheinlich nicht leisten können.
 
@gueste: Naja, man kann sich die Codes auch generieren lassen. Wie genau es funktioniert, keine Ahnung... :D Aber auch für Tans gibt es ja so kleine Schlüsselanhänger-Generatoren, also kann man das ganze auch ohne direkte Verbindung mit einem geheimen Algorithmus lösen
 
@moe.: http://tinyurl.com/3mboeyn Meinst du sowas? Das funktioniert über eine ID des Gerätes und der Uhrzeit und da liegt auch die Schwachstelle des Systems. Wenn ein Hacker den Key abfangen kann, kann er mit der Uhrzeit wohl auf die ID zurückrechnen und damit weitere Keys generieren. Zusätzlcihe Sicherheit? ja. Sicher? nein.
 
@LaberLu: Das stimmt, das wusste ich vorher nicht. Aber wie du schon sagst, es fördert die Sicherheit (meiner Meinung nach erheblich, denn wenn ich das ganze unter einem Livesystem koppele und nicht in einem offenen Wlan sitze oder sonst irgendwie per Wireshark oÄ überwacht werde, dann muss der Angreifer sich eine andere Schwachstelle suchen).

Was ist schon sicher? :P
 
@moe.: Absolut sicher nichts, aber ich habe mal mit einem Freund schon drüber diskutiert wie man das Blizzard System umgehen kann, weil er behauptet hat das sei sicher.
Da ist mir spontan der Gedanke gekommen, dass ich noch einen aussortieren WLan Router habe (unzuverlässig geworden) und wollte dort die Firmware ersetzten, sodass sie den Login mitsnifft. Damals dachte ich noch, dass der Code über eine Anfrage an Blizzard und irgendwelche Berechnungen erfolgt, so müsste man die Berechnungen umkehren was wohl schwerer ist, aber auch nicht unmöglich.
Wenn man so einen Router dann für eine Lan benutzen würde und die Accounts anschließend verkauft könnte man damit bestimmt gut Geld verdienen :D
Mir war es dann letztendlich zu viel Aufwand dafür, dass ich es nie benutzen würde und hab es deswegen gelassen ;)
 
@LaberLu: Wenn alles erlaubt ist: Einfach Keylogger auf seinen PC. Seinen Wlanrouter kaputtpingen und durch deinen Router mit der selben ssid ersetzen, bei Blizzard anrufen und alles ändern lassen (aka Social Engineering), Brute forcen, ihm den Tan klauen, die Funktastatur abhören etc etc. Es gibt tausende Möglichkeiten kannst du ihm ausrichten :D
 
@Rikibu: nein, OCR ist lang nicht so ausgereift. Außerdem erhöht das Captcha die benötigte Rechenzeit massiv. Eher würd ich mir darüber sorgen machen, dass sie Captchas von Menschen lösen lassen. Die werden aber erstmal mit sehr vielen falschen Captchas ausgebremst. Von daher netter Ansatz
 
@Rikibu: Ein Captcha muss nicht nur aus Worten bestehen. Es kann auch z.B. eine Geometrieaufgabe sein. Von wegen "klick auf die offene Stelle im grünen Kreis". Da hilft dir auch keine ocr software mehr. und wenn ich mir das so bei Adobe Acrobat angucke, welches schon eine recht gute OCR Erkennung hat, so versagt diese aber doch sehr schnell, wenn die Buchstaben krumm und schief sind. Auch captchareader machen es selten beim ersten mal korrekt. Jedes mal auf das neue Passwort + Captcha bei Falscheingabe. Die Theorie das zu knacken klingt simpel, das wirklich umzusetzen... mehr ein Glückerfolg, wenn man auch nur etwas halbwegs gutes umgesetzt hat.
 
@Rikibu: ich denk mal der einzige unterschied wird das man beim bruteforcen noch die ocr software mit laufen lassen muss, und die erkennung, das dort garkeine buchstaben sind dauert eben relativ lange, so könnte man noch mehr zeit raus holen. wenn das passwort allerdings beim 500. bruteforce versuch bereits richtig ist hat man auch nichts gewonnen, sichere passwörter bleiben immernoch genauso wichtig. ich halte diese doppel methoden auch für blöd.
 
@Rikibu: Unleserlich ist gut. Ich habe oft zusätzliche Taten auf der Tastatur vermisst.
 
@Rikibu: Der interessante Aspekt ist das Captcha selbst.. Die OCR-Software "erahnt" ja meistens ein CAPTCHA.. und es ist nicht immer garantiert, dass beim richtigen Passwort das CAPTCHA 100% lesbar ist (wies halt bei CAPTCHAs so ist).. somit kanns durchaus passieren, dass man das Passwort zwar rausfindet - OCR versagt - und das richtige Passwort überspringt...
 
@Rikibu: was glaubst du für was gibt es z.b. recaptcha? Googles OCR Software kann diese nämlich nicht lesen und du hilfst bei der Eingabe des Captchas diese Wörter zu "übersetzen".
 
@Rikibu: Stimmt. Captcha nach einer Falscheingabe kann man ja noch machen, aber direkt nach richtigem PW klingt für mich eher lästig.
 
@Rikibu: Seh ich auch so, es wird auch von Monat zu Monat quasi schlimmer. Teilweise gibts da nun schon so Dinger wo man echt Minuten lang suchen kann nach dem Wort welches verlangt wird. Bzw Zahlen in einem riesen Haufen von Zahlen mischmasch... echt unmenschlich sowas. Ich meide Seiten absolut mit diesem mist, weils mit tierisch auf die Nudel geht, scheint nur keiner zu checken.
 
Das würde mir auf die Nerven gehen. Sicherheit ist zwar wichtig, doch Usability ist mindestens genauso wichtig.

Eine 15-minütige IP-Sperre nach 3 Fehlversuchen verhindert auch Brute Force Attacken, ohne dabei dem User zur Last zu fallen.
 
@mlodin84: bringt halt auch recht wenig gegen "cloud" einsatz :)
 
@-adrian-: Muß ja auch keine IP-Sperre sein. Man kann ja auch das Account so lange sperren.
 
@Johnny Cache: Toll, dann kann sich niemand mehr einloggen bei einem Angriff :D
 
@JacksBauer: Muß man ja auch nicht wenn die Session nicht nach x Minuten automatisch beendet wird.
 
@JacksBauer: Man könnte ja ne Freischalt-E-Mail an den Account schicken, um die Sperre aufzuheben.
 
@-adrian-: Man kann auch einfach den Account für 15 Minuten Sperren lassen... da hilft die Cloud dann auch nicht viel.. und dem User selbst tuts auch nicht weh... Außerdem haben Cloudrechner oft die selbe IP.
 
@mlodin84: Als Forenbetreiber gehen mir automatisierte Anmeldungen (trotz reCaptcha) ebenso auf die Nerven. Zeitverschwendung fürs Aussortieren wächst immer mehr. Bei diesem Vorschlag hält sich der Zeitaufwand des Users allerdings im Bereich von wenigen Sekunden, ist daher absolut zumutbar.
 
Na dass ist doch eine tolle Methode. Außerdem lassen sich beide Methoden per Brüte-Force knacken. Am Ende bedeutet es nur mehr Arbeit für den Nutzer.
 
@Stürmische Tage: es lässt sich jedes system durch brute force knacken.. das ist ja das schöne an brute force.. der zeitaufwand ist dafür der nachteil.. und der wird durch captchas massiv erhöht..
beispiel: der angreifer hat das richtige pw per zufall gefunden.. das captcha zeigt daraufhin etwas richtiges an.. wird aber vl. nicht erkannt.. login schlägt fehl.. jetzt muss der angreifer entscheiden ob er mit dem gleichen passwort nochmal einen login versucht und hofft das captcha dann lesen zu können, oder das passwort zu überspringen.. er hat jetzt ja kein anzeichen dass das pw richtig ist (ausgenommen da sitzt jemand vorm monitor und kontrolliert selbst die captchas)..
 
ich hab jetzt gar nicht verstanden wie das ueberhaupt funktinoiert.. also erst hat man nen feld in dem nach eingabe vom passwort nen captcha erscheint und das muss man dann eingeben oder wie? .. oder erscheint ein zweites ausgewaehltes word als captcha und das muss man dann eingeben? sodass man im prinzip sich einfach 2 woerter merken muss die man dann hintereinander eingeben kann..
 
@-adrian-: Nur bei der korrekten Eingabe deines Passwortes wird ein lesbares Captcha generiert (rechtes Bild), bei einer falschen Eingabe kommt nur Müll heraus (linkes Bild). Was ist daran nicht zu verstehen gewesen? Text lesen!
 
@gibbons: ja.. also gibt es quasi 2 passwoerter.. und das 2. kann man einfach eintippen weil man ja weiss was nach dem ersten fuern wort da erscheinen muss- edit..
also es ist zufaellig generiert .. in dem moment kann man es auch maschinell loesen
 
@-adrian-: Das Wort im Captcha ist jedes mal ein anderes. Auch nach jeder Falscheingabe.
 
@gibbons: nach ner falscheingabe des erstesn passworts ist einfach kein sinnvolles wort in der datamatrix zu erkennen
 
@-adrian-: Sinn machen die Wörter in den Captchas selten. Einmal musste ich bloodjew eingeben.
 
@gibbons: es geht ja eher darum dass man das captcha nicht bestimmen kann.. in dem moment wird es generiert.. und in dem moment wird man es zeitnah auch mit OCR loesen koennen .. ist doch nix anderes als das paralelle eingeben momentan in eine 2 stufige eingabe umzuwandeln
 
@-adrian-: Das mit OCR haben wir weiter oben schon. Die Dinger sind alles andere als perfekt und auch nicht schwer funktionslos zu machen. Einen gleichfarbigen Schleier über die Schrift, kannste die Dinger schon in die Tonne kloppen.
 
@gibbons: recaptcha galt auch als sicher ...
 
@-adrian-: recaptcha scheint auch keine Weiterentwicklung zu erfahren. Wie auch oben schon beschrieben: Captchas müssen keine Wörter sein.
 
@gibbons: naja ..recaptcha dient ja auch nur einem grund .. der unterstuetzung der texterkennung von google zb bei google books ..
 
@-adrian-: nein.. ocr software ist noch nicht soweit.. und es muss ja kein einfacher text sein.. kann ja auch ne aufgabe sein: "klicke den blauen kreis an" oder rechenaufgaben usw..
 
@vires: und es kann generiert werden ... es ist nur eine frage der zeit bis soetwas auch geloest werden kann
 
@-adrian-: es ist alles nur eine frage der zeit.. deiner logik nach brauchen wir gar nix mehr in richtung sicherheit entwickeln.. alles wird einmal geknackt werden.. durch das neue system aber eher später als früher..
 
@vires: eine sinnvolle passwortpolitik ist da denke ich mehr wert als ein captcha ..
 
@-adrian-: wieso? bei bruteforce ist die logik komplett egal.. und das 123456 kein sicheres passwort ist, sollte mittlerweilen allen klar sein.. und wenn das passwort "einfach" ist, werden die daten die dahinter stecken dementsprechend wertlos sein..
 
Sicherheit ist wichtig, aber ich denke, dass solche Methoden auch Nachteile mit sich bringen werden. Passwortspeicherung für den erleichterten/schnelleren Zugang ist damit auch nutzlos. Weiter sehe ich das Problem auch darin, dass es trotz erhörter Sicherheit einfach nervend ist, 2 oder sogar 3 PW immer von Hand einzugeben. Auch der Faktor Zeit im doppelten Sinne steht hier im Widerspruch, erstens die eigene die man braucht und zweitens wird mit Sicherheit irgendeinmal jemand eine Methode finden auch dies zu umgehen. Sieht man ja in der heutigen Form von (RE)Captcha, es gibt schon zahlreiche Möglichkeiten es sehr einfach zu umgehen und noch vor einigen Monaten hat man gesagt es sei sicher.Ich denke man sollte Lösungen finden die wirklich Nutzerfreundlich und auch sicher(er) sind.
 
Tolle idee - man speichert PWs, um sie nicht mehr eingeben zu müssen, also kann man den Aufwand ja auf ein Captcha portieren....

dann lieber auf 5 Versuche /IP beschränken und dann 1 Std sperre oder so....
 
Als sehbehinderte Person bedanke ich mich für diesen bescheuerten Vorschlag. Von Barrierefreiheit haben diese Leute wohl auch noch nichts gehört? Captchas sind die Seuche des Internets und in 99% der Fälle könnte man das Ganze auch anders lösen. Beispiel hier: http://www.1ngo.de/web/captcha-spam.html
 
Man könnte die vielgescholtene Account-Sperrung auch einfach dadurch entschärfen, in dem eine E-Mail an die im System hinterlegte E-Mail-Adresse mit Freischalt-Link geschickt wird... zudem würde so ein User sogar direkt merken, dass irgendjemand versucht, seinen Account zu stehlen. Ich frag mich halt echt, warum man sich so lange Gedanken macht um den Brute-Force-Angriff zu erschweren anstatt ihn sinnlos zu machen über begrenzte Versuche pro Zeit... Und wenn die Angreifer Kontrolle über das E-Mail-Konto hätten, könnten sie sich im Übrigen einfach ein neues PW zuschicken lassen, insofern ist es keine Sicherheitslücke, den Freischaltlink via E-Mail zu versenden...
 
Ziehe meine Aussage zurück. :) Ist als erste Sicherung unknackbar ^^
Kommentar abgeben Netiquette beachten!

Video-Empfehlungen

WinFuture Mobil

WinFuture.mbo QR-Code Auch Unterwegs bestens informiert!
Nachrichten und Kommentare auf
dem Smartphone lesen.

Folgt uns auf Twitter

WinFuture bei Twitter

Interessante Artikel & Testberichte

WinFuture wird gehostet von Artfiles