Passwort BruteForce Attacken

alles bezüglich des Forums; Lob und Kritik; Bugmeldungen und Verbesserungsvorschläge; Kontakt

Passwort BruteForce Attacken

Beitragvon commander_keen » Fr 22. Jan 2010, 13:44

Nachdem ich diese Nacht ein völlig verstörenden Traum hatte (ich erspare mal Einzelheiten ;-)), in dem beide phpBB-Foren, die ich betreue, gehackt wurden, hab ich nur so aus "Spaß" mal nachgelesen, wie die aktuelle Lage so ist. Da stolpere ich doch prompt über eine Meldung von vor 3 Tagen, dass es im offiziellen phpBB-Forum einen relativ groß angelegten Versuch gab, per Bruteforce Accounts zu knacken. (http://www.phpbb.com/community/viewtopi ... &t=1947925)

Ich fasse mal ganz kurz und grob zusammen, um was es dort geht, für all jene, die dem Englischen nicht so mächtig sind:
Letzte Woche wurde festgestellt, dass es einen massiven Versuch gab, mit Hilfe einer BruteForce-Attacke Passwörter zu "erraten". Dazu hat der Angreifer die Mitgliederliste zu großen Teilen ausgelesen und versucht, die Passwörter der jeweiligen Accounts zu knacken, indem er automatisierte "Rateversuche" auf das Forum losließ.
Dies wird vom phpBB unterbunden, da nach (und das sind jetzt die Einstellungen unseres Forums hier) 3 erfolglosen Anmeldeversuchen zusätzlich die korrekte Eingabe eines Captchas verlangt wird, nach 3 falschen Versuchen mit dem Bestätigungscode der Benutzer für die Session gesperrt wird.
Ich habe kürzlich auch nach Erscheinen der Version 3.0.6 auf reCAPTCHA umgestellt. Dessen Image ist zwar in der Theorie auch schon angeknackst, aber in der Praxis bietet es immernoch unübertroffenen Schutz im Vergleich zu den anderen Varianten. Dieses wird generell bei der Registrierung eines neuen Accounts verwendet.

Doch nun zu den für euch wichtigen Dingen.
Eines der offensichtlichsten Zeichen, dass jemand versucht hat, euer Passwort zu erraten bzw. knacken zu lassen, ist die Tatsache, dass ihr beim Login dazu aufgefordert werdet den visuellen Bestätigungscode (Captcha) einzugeben, obwohl ihr keine erfolglosen Loginversuche unternommen habt. Sollte dies der Fall sein, solltet ihr dringlichst sicherstellen, dass ihr ein ausreichend komplexes und genügend langes Passwort verwendet!

Gegenmaßnahmen:
Ein sicheres Passwort benutzen! Das Board ist so konfiguriert, dass ihr gezwungen werdet, wenigstens Buchstaben und Zahlen zu verwenden, ich brauche wohl niemanden hier mit Einzelheiten zu langweilen, indem ich sage, dass ein Passwort möglichst viele Zeichen haben und nach Möglichkeit noch zusätzlich Großbuchstaben und Sonderzeichen enthalten sollte etc...

Des weiteren bin ich der im verlinkten Thread geäußerten Empfehlung gefolgt, die Benutzergruppe "kürzlich registrierte Benutzer" zu nutzen und dieser das Recht zu entziehen, die Mitgliederliste etc. einzusehen. (was Gäste bei uns natürlich auch nicht können) Fast alles ist natürlich kein sicherer Schutz, aber jede Maßnahme trägt in der Summe etwas dazu bei, die "Welt" etwas sicherer zu machen. Euer Teil ist das Passwort, vernachlässigt ihn nicht ;-)
Bild - "A lot of people couldn't tell you what a 626 looks like, but when they see it they think it looks smart."
Benutzeravatar
commander_keen
Moderator
 
Beiträge: 4882
Registriert: Di 10. Jan 2006, 18:18
Wohnort: bei Stuttgart
Modell: Bj.96 - 16V - FLH
Postleitzahl: 71254
Land: Deutschland

Re: Passwort BruteForce Attacken

Beitragvon Drachenflug » Fr 22. Jan 2010, 18:55

Danke dir für die wertvollen Infos!
Benutzeravatar
Drachenflug
Administrator
 
Beiträge: 3685
Registriert: Fr 8. Apr 2005, 09:38
Modell: Dodge, Chevy, BMW, VW
Land: Deutschland

Re: Passwort BruteForce Attacken

Beitragvon commander_keen » So 7. Feb 2010, 22:12

commander_keen hat geschrieben:Des weiteren bin ich der im verlinkten Thread geäußerten Empfehlung gefolgt, die Benutzergruppe "kürzlich registrierte Benutzer" zu nutzen und dieser das Recht zu entziehen, die Mitgliederliste etc. einzusehen. (was Gäste bei uns natürlich auch nicht können)

Nach einem Gespräch mit Lima kristallisierte sich heraus, dass man dazu wohl noch ein paar Worte verlieren sollte (v.a. relevant für Admins/Mods):

Neu registrierte Nutzer landen automatisch in der o.g. Gruppe. Solange sie sich in dieser befinden, müssen ihre Beiträge explizit freigeschaltet werden (von einem Moderator/Admin) und sind bis dahin für alle anderen nicht sichtbar. Freizuschaltende Beiträge erkennen Mods/Admins am Symbol, das solchen Beiträgen zusätzlich anhaftet. Ein Klick darauf führt sie direkt zur Moderationswarteschlange (diese ist auch über den Moderations-Bereich oben links zu finden), um die Freigabe zu ermöglichen (oder im dümmsten Fall zu verweigern).

Beim Freischalten kann der Benutzer auch mittels einer PN benachrichtigt werden. (ist ein einfaches Hächen im Freischalt-Prozess)

Benutzer mit einem (freigeschalteten) Beitrag oder mehr verlassen die Gruppe automatisch und werden zu einem normalen Benutzer.

Lima wünschte sich einen Hinweis oder eine Benachrichtigung zusätzlich zum Beitrags-Symbol, sobald ein solcher Beitrag verfasst wurde. Eine derartige Funktion ist von Natur aus nicht Bestandteil des phpBB wie ich nun feststellen musste, aber wahrscheinlich machbar, kümmere ich mich in der Woche nach dem 18.2. nochmal drum.
Bild - "A lot of people couldn't tell you what a 626 looks like, but when they see it they think it looks smart."
Benutzeravatar
commander_keen
Moderator
 
Beiträge: 4882
Registriert: Di 10. Jan 2006, 18:18
Wohnort: bei Stuttgart
Modell: Bj.96 - 16V - FLH
Postleitzahl: 71254
Land: Deutschland

Re: Passwort BruteForce Attacken

Beitragvon Lima » So 7. Feb 2010, 22:37

cool das du dir da nochmal ein paar gedanken drüber gemacht hast, commander! Ich mein, jetzt wo ichs weiss, weiss ich wie ich zu verfahren habe, das symbol kannte ich auch noch nicht ...

habe auch schon zum thema Sicherheit und Privatsphäre noch ein Topic eröffnet, was hältst du von dem Vorschlag ?!

edit-Text
Zuletzt geändert von admin am Di 23. Mär 2010, 21:19, insgesamt 1-mal geändert.
Grund: Hier steht der Grund
Lima
 
Beiträge: 5012
Registriert: Sa 30. Jul 2005, 12:15
Modell: GE V6 (2006-2010)
Land: Deutschland


Zurück zu Übers Forum / Kontakt / Impressum

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 1 Gast