starke Paßwörter ./. Benutzersperre

© Stefan Redel - Fotolia.com

Die c’t hat in einer ihrer letzten Ausgaben die Möglichkeiten von brute-force Angriffen auf Paßwörter verschiedener Stärke dargestellt. Ein Leserbrief fordert, statt den Nutzer mit Paßwortanforderungen zu quälen, doch nach einer bestimmten Zahl von Fehlversuchen das Nutzerkonto zu sperren.

Der Vorschlag ist sicher im Unternehmensumfeld gut, in den meisten Fällen bringt er jedoch wenig:

Häufig braucht der Hacker nicht ein bestimmtes Konto. Für den Spamversand reicht es aus, ein beliebiges Konto zu kapern. D.h. man probiert nicht verschiedene Paßwörter für ein Konto aus (was die Sperre auslöst), sondern für ein populäres Paßwort (z.B. Passwort, geheim, sex) verschiedene UserID’s. Damit bleibt man bei den meisten Systemen unter dem Radar der Sperre. Wer kann die Sperre zurücksetzen? Eine Zeitsperre (“bitte warten Sie 5 Minuten”) verlängert zwar die Zeit, verhindert den Angriff aber nicht ...Zum vollständigen Artikel


Cookies helfen bei der Bereitstellung unserer Dienste. Durch die Nutzung erklären Sie sich mit der Cookie-Setzung einverstanden. Mehr OK