Hallo,

entschuldige bitte, aber du bist ein bißchen zu voreilig.

dagegen kann man leider als Administrator nicht viel machen, wenn der Anwender geschwätzig ist! Was interessant bleibt, sind die Möglichkeiten, die ich vor Angriffen habe.

Ich verstehe nicht ganz, warum möchtest Du das nicht als Angriff ansehen?

Vielleicht habe ich mich zugegebenermaßen nicht richtig ausgedrückt, es ist aber genauso gut möglich, dass du mich nicht verstanden hast.

Wenn ein Benutzer "auf eigene Verantworung" seinen Benutzernamen und sein Passwort preis gibt und seine Daten von einer dritten Person gelöscht werden, dann war das kein Angriff auf mein System, es sei, die Person versucht Daten zu löschen, die nicht mehr dem Loginuser gehören.

Wenn aber ein Benutzer gewisse Sicherheitsrichtilien aktzeptieren musste und er seinen Benutzernamen und sein Passwort trotzallem preis gibt UND ich auf meiner Loginseite den Hinweis gebe, dass der Zugriff/Zutritt nur für berechtigte Personen gilt, dann ist es ein Angriff auf mein System!

Aber in beiden Fällen bleibt es unbestreitbar, dass ich als Administrator zunächst _nichts_ dagegen unternehmen kann, aller aller höchstens danach!

Dann verbleiben nur noch Angriffe von Crackern - diverse Angriffe von Intern jetzt mal ausgeschlossen -, die durch BruteForce oder anderen Methoden versuchen, in mein System zu einzudringen!

Vielleciht solltest Du Dir mal den Sinn und Zweck und vor allem die Begrenzung eines Logins zu Gemüte führen:

Weshalb? Weil du der Ansicht bist, dass ich das nicht weiß? Diese Ausführung war wirklich nicht notwendig! Ich versuche trotzdem Mal darauf einzugehen.

Somit kannst Du überhaupt nicht unterscheiden, wer das Login getätigt hat. Wenn ein Haufen Fehlversuche in kurzer Zeit anbranden ist das ein Angreifer? Ist das _jedesmal_ ein Angreifer oder ist der eigentliche User auch darunter?

Wenn der eigentliche User 1000 Loginversuche pro Sekunde durchführt, dann mag er zwar ein User mit einem berechtigtem Zugriff sein, aber er greift dennoch mein System an, durch die Last, die er erzeugt.

Wenn Du nun, wie Du das vorhast und wie das auch durchaus üblich ist, nach jedem Fehlversuch drei Sekunden Pause einlegst und nach drei Fehlversuchen 5 Minuten und vielleicht sogar nach 3x3 Fehlversuchen den Account blockierst dann setzt Du den User der Möglichkeit eines Angriffes aus, der den Zugriff des Users über längere Zeit blockiert. Sowas nennt man dann (D)DoS.

Ich habe niemals behauptet, den User zu sperren!! (s.o. voreilig)

NT-Zeiten mögen vorrüber sein, in denen man einen Kollegen ärgern konnte, indem man sich drei Mal mit seinem Account und falschem Passwort versuchte einzuloggen. ;-)

Das mag es zwar noch geben, ist aber völlig unzumutbar!

Und wenn besagter User ein _zahlender_ Kunde ist, vielleicht sogar einer mit Regressansprüchen ...

Damit habe ich nicht so viel zu tun, _aber_ der Kunde wird sicherlich froh sein, wenn er weiß, dass ich es einem Cracker 3x2mio Mal schwerer gemacht habe - obwohl ihm die besagte Technik egal sein mag -, auf seine Daten zugreifen zu können! Falls er einer dieser grausam unzufriedenen Kunden sein sollte, dann hat er sich doch ganz bestimmt die AGBs/Nutzungsbediengungen oder was auch immer vorher durchgelesen :-)

Spaß beiseite! Natürlich muss darauf Rücksicht genommen werden, aber nicht zu Kosten des Risikos. Wie weit nun das Risiko eingeschränkt wird und welche Maßnahmen hierzu ergriffen werden... da mag es etliche Lösungsansätze geben. Meine Zeitverzögerung sollte eines dieser Möglichkeiten sein und ich wollte nur wissen, ob diese Möglichkeit eine gute Möglichkeit ist.

Du hast ja auch geschrieben ... üblich sind 3 Sekunden ... also ist diese Methode nicht neu.

Wie Du siehst reicht alleine schon die Kenntnis des Usernamens aus erheblichen Schaden zuzufügen, man muß das Paßwort gar nicht erst kennen. Und so ein Usernamen erhält nie die nötige Beachtung, wie das Paßwort obwohl beide in diesem Fall gleichwertig sind.

Natürlich ist schon der Username kritisch. Aber genau deshalb mache ich mir Gedanken um dieses Thema. Falls sich ein User nicht anmelden kann, weil sein Username gerade attakiert wird, dann hat er die Möglichkeit, den Support anzurufen. Die Möglichkeit zu ignorieren, höhere Sicherheit erzielen zu können, nur damit sich der User problemlos einloggen kann, steht _meiner_Ansicht_ nach nicht zur Debatte. Wie schon geschrieben, sollten gegebene Nutzerrichtlinien das rechtliche abdecken.

Aber mit dieser Aussage lege ich mir natürlich selbst ein Ei, denn dann muss ich den Benutzer auch dazu auffordern, ein Passwort mit Zahlen, Klein- und Großbuchstaben sowie Sonderzeichen zu verwenden.

Es ist ein recht gefährlicher Trugschluß ähnlich dem, das die leicht austauschbaren Programme und Scripte einer OS-Installation wichtiger seien als das /home-Verzeichnis. Alles außer dem Homeverzeichnis ist fix und kannst Du bequem vom Image aufziehen; beim kleinstem Verdacht oder meinetwegen auch schon ohne irgendeinen Verdacht rein nach dem Zufallsprinzip. Die Daten des Home-Verzeichnisses sind es jedoch, die wertvoll sind!

Das weicht mir jetzt zu stark vom Thema ab.

und genau auf diese zwei Punkte wollte ich hinaus! Es ist unzumutbar, einem Benutzer, der sich sowieso schon im Durchschnitt drei Passwörter merken muss - mal jetzt so dahingeschrieben -, solche Passwortanforderungen aufzudrängen, Beispiel: te92;M{Ny3

Nein ist es überhaupt nicht, wenn Du ihn wie von mir beschrieben über den Umgang damit aufklärst.

da isses ja, mein gelegtes Ei :-)

(üblich sind, wie o.a. meist drei Sekunden) zu geben, das ist die einzige technische Möglichkeit, die Dir gegeben ist und trotz o.a. Nachteile auch von mir empfohlen wird, da die Wahrscheinlichkeit eines (D)DoS doch _sehr_ gering ist.

Dankeschön! Die Diskussion hat mir weitergeholfen!

Jetzt muss ich mich aber sputen, wollte noch einen anderen Thread aufmachen. Bis dann ... :)

Greez,
opi