), in dem beide phpBB-Foren, die ich betreue, gehackt wurden, hab ich nur so aus "Spaß" mal nachgelesen, wie die aktuelle Lage so ist. Da stolpere ich doch prompt über eine Meldung von vor 3 Tagen, dass es im offiziellen phpBB-Forum einen relativ groß angelegten Versuch gab, per Bruteforce Accounts zu knacken. (http://www.phpbb.com/community/viewtopi ... &t=1947925)Ich fasse mal ganz kurz und grob zusammen, um was es dort geht, für all jene, die dem Englischen nicht so mächtig sind:
Letzte Woche wurde festgestellt, dass es einen massiven Versuch gab, mit Hilfe einer BruteForce-Attacke Passwörter zu "erraten". Dazu hat der Angreifer die Mitgliederliste zu großen Teilen ausgelesen und versucht, die Passwörter der jeweiligen Accounts zu knacken, indem er automatisierte "Rateversuche" auf das Forum losließ.
Dies wird vom phpBB unterbunden, da nach (und das sind jetzt die Einstellungen unseres Forums hier) 3 erfolglosen Anmeldeversuchen zusätzlich die korrekte Eingabe eines Captchas verlangt wird, nach 3 falschen Versuchen mit dem Bestätigungscode der Benutzer für die Session gesperrt wird.
Ich habe kürzlich auch nach Erscheinen der Version 3.0.6 auf reCAPTCHA umgestellt. Dessen Image ist zwar in der Theorie auch schon angeknackst, aber in der Praxis bietet es immernoch unübertroffenen Schutz im Vergleich zu den anderen Varianten. Dieses wird generell bei der Registrierung eines neuen Accounts verwendet.
Doch nun zu den für euch wichtigen Dingen.
Eines der offensichtlichsten Zeichen, dass jemand versucht hat, euer Passwort zu erraten bzw. knacken zu lassen, ist die Tatsache, dass ihr beim Login dazu aufgefordert werdet den visuellen Bestätigungscode (Captcha) einzugeben, obwohl ihr keine erfolglosen Loginversuche unternommen habt. Sollte dies der Fall sein, solltet ihr dringlichst sicherstellen, dass ihr ein ausreichend komplexes und genügend langes Passwort verwendet!
Gegenmaßnahmen:
Ein sicheres Passwort benutzen! Das Board ist so konfiguriert, dass ihr gezwungen werdet, wenigstens Buchstaben und Zahlen zu verwenden, ich brauche wohl niemanden hier mit Einzelheiten zu langweilen, indem ich sage, dass ein Passwort möglichst viele Zeichen haben und nach Möglichkeit noch zusätzlich Großbuchstaben und Sonderzeichen enthalten sollte etc...
Des weiteren bin ich der im verlinkten Thread geäußerten Empfehlung gefolgt, die Benutzergruppe "kürzlich registrierte Benutzer" zu nutzen und dieser das Recht zu entziehen, die Mitgliederliste etc. einzusehen. (was Gäste bei uns natürlich auch nicht können) Fast alles ist natürlich kein sicherer Schutz, aber jede Maßnahme trägt in der Summe etwas dazu bei, die "Welt" etwas sicherer zu machen. Euer Teil ist das Passwort, vernachlässigt ihn nicht
