Hallo,

die einfachste Lösung heißt

sleep(2);
und genügend lange Loginnamen und Passworte

Kannst ja mal ausrechnen, wei lange es dauert, (26+26+10+x)^8 Möglichkeiten durchzuprobieren. Wenn der Anmeldename nicht mit dem Usernamen übereinstimmt und ebenfalls wie ein Passwort behandelt wird (Länge, Zeichen, Nichtanzeige) dann sind es ja sogar noch viel mehr Möglichkeiten, sodass ich die Gaussche Verteilung und social Engeneering für die Treffer mal vernachlässige.

Ich hatte am Anfabg für die User einen Zähler drin, der die Fehlversuche pro Anmledenamen gezählt hat. Leider gibt es dann immer Ärger mit den Usern, wenn irgendwelche Spaßvögel ihren Account durch bewusste Fehlversuche mal wieder gesperrt haben.

Liebe Grüße aus http://www.braunschweig.de

Tom

Hi Mario,

Einzig und allein eins macht mir Sorgen: Dieses Skript könnte man per Brutforce knacken. Wie kann ich mein Skript modifizieren, daß dies nicht mehr geht.

naja, wenn jemand Dein Skript mit 2.4*10^24 Anfragen befeuert, dann dürfte es eher eine Denial of Service Attacke werden als eine Brute Force. Der Webserver würde IMHO so viele Anfragen gar nicht verkraften und in die Knie gehen, bevor das Passwort geknackt ist.

Ich glaube nicht, daß man über HTTP eine Brute Force machen kann. Aber um ganz sicher zu gehen, wäre die Idee mit dem IP-Cache samt Zeitstempel meiner Meinung nach die Beste.

viele Grüße
Achim Schrepfer