Angriff auf Klamm Account

T

thanlan

Active member
ID: 326256
L
10 August 2008
41
5
Da es jetzt schon mehrfach vorgekommen ist, dass ich mich auf klamm.de einloggen wollte; und nicht konnte(10min warten musste) weil irgendwer Passwörter ausprobiert hat ...

Mein Vorschlag für mehr Sicherheit: Passwort 3x falsch -> generierte Pin an Email -> Pinabfrage

Warum? Nach 3x fasches Passwort ist der Account erstmal zu und der Angreifer kann nach 10min keinen neuen versuch starten.

Bruteforce funktioniert auch andersrum -man muss nicht unbedingt Passwörter an accounts ausprobieren, man kann auch Accounts an Passwörten ....

Bei über 200000 accounts braucht das script locker über 10min um rum zu kommen d.h. die 10min pause sind keine sicherheit!
 
bruteforce geht eh nicht wegen dem neuen captcha ...
und wenn das PW sicher ist muss man auch vor BF keine angst haben :roll:

@email
dann bekämen wir wieder 1000 mails mit "ich hab die reaktiverungsmail nicht bekommen ... "
 
bruteforce geht eh nicht wegen dem neuen captcha ...

diese Behauptung lasse ich im Raum stehen -ich habe einen guten Lösungsansatz der Captcha's (auch bei bekannten Webmail-Anbietern) schon recht zuverlässig knackt. Wie zuverlässig muss sowas sein? BF ist das System der "großen Zahl" da sind 20% Trefferquote schon gefährlich.

Bei eMoney Bezahldiensten, z.B. eGold funktioniert das mit der Pin-Mail ganz gut. Wenn die Mail nicht angekommen ist -einfach 'ne neue Pin anfordern ...

...zugegeben ein X.509 Zertifikat ist die bessere Lösung.

Die Sicherheit bei Loseüberweisungen und EF nehme ich später mal auf's Korn!
 
Dramatisiere deinen Alltag

Solang hier nicht massenhaft Accounts geknackt werden, scheints doch in Ordnung zu sein.
Wer sich für klamm die Mühe macht und extra n Captchasovler bastelt hat eh andere Probleme.
 
thanlan schrieb:
Da es jetzt schon mehrfach vorgekommen ist, dass ich mich auf klamm.de einloggen wollte; und nicht konnte(10min warten musste) weil irgendwer Passwörter ausprobiert hat ...

Mein Vorschlag für mehr Sicherheit: Passwort 3x falsch -> generierte Pin an Email -> Pinabfrage

Warum? Nach 3x fasches Passwort ist der Account erstmal zu und der Angreifer kann nach 10min keinen neuen versuch starten.

Bruteforce funktioniert auch andersrum -man muss nicht unbedingt Passwörter an accounts ausprobieren, man kann auch Accounts an Passwörten ....
Zum Vergrößern anklicken....

Ohne den ganzen Vorgang beim Login zu kennen dürfte beim Gro der User (auch wegen Cookie) das mit dem Login und zeitgleich ner Sperre wegen einem Scherzkeks weitaus seltener sein wie "jedesmal" nach drei Versuchen ne Mail mit ner Pin. Fände ich auch mega nervig ;p

> Bei über 200000 accounts braucht das script locker über 10min um rum zu
> kommen d.h. die 10min pause sind keine sicherheit!

Soweit kommt (wird kommen) das "Script" gar nicht erst.
 
DelphiKing schrieb:
Wer sich für klamm die Mühe macht und extra n Captchasovler bastelt hat eh andere Probleme.
Zum Vergrößern anklicken....

Du siehst das falsch ;)
Die Klamm-Captchas kommen von dem Captcha-Dienst ReCaptcha, und da das der größte externe Anbieter für Captchas ist, ist es direkt lohnend dafür nen Solver zu bauen, man kann ja noch tausende andere Seiten damit bedienen.
Es muss ja kein Klammer sowas entwickeln, es kann ja auch wer anderes für einen anderen Dienst sein.

Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
 
Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
Zum Vergrößern anklicken....

IP-Sperre ist nutzlos weil man davon ausgehen kann das der Angreifer bei jeder Anfrage die IP wechselt - Ich würde das machen ...
 
ice-breaker schrieb:
Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken.
Zum Vergrößern anklicken....
Könnte ich neben der 3-Fehlversuche für ID X-Sperre auch einbauen, aber damit das überhaupt sinnvoll greift, würde das voraussetzen, dass der Angreifer im Besitz eines reCaptcha-Solvers ist ... und das bezweifle ich. ;)
 
ice-breaker schrieb:
Du siehst das falsch ;)
Die Klamm-Captchas kommen von dem Captcha-Dienst ReCaptcha, und da das der größte externe Anbieter für Captchas ist, ist es direkt lohnend dafür nen Solver zu bauen, man kann ja noch tausende andere Seiten damit bedienen.
Es muss ja kein Klammer sowas entwickeln, es kann ja auch wer anderes für einen anderen Dienst sein.

Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
Zum Vergrößern anklicken....

klamm schrieb:
Könnte ich neben der 3-Fehlversuche für ID X-Sperre auch einbauen, aber damit das überhaupt sinnvoll greift, würde das voraussetzen, dass der Angreifer im Besitz eines reCaptcha-Solvers ist ... und das bezweifle ich. ;)
Zum Vergrößern anklicken....

... gib den folgenden security code ein um die Lose Belohnung zu erhalten ...

das ist der einfachste solver und dazu muss ich nichma programmieren können
 
thanlan schrieb:
... gib den folgenden security code ein um die Lose Belohnung zu erhalten ... das ist der einfachste solver und dazu muss ich nichma programmieren können
Zum Vergrößern anklicken....
Ja ... aber die Captchas sind logischerweise Zeit, Server und IP gebunden. Du kannst also schwerlich ein vom klamm-Server bei reCaprtcha angefordertes Captcha auf irgendeine Loseseite übertragen und auch noch in Echtzeit zurückschicken.
 
klamm schrieb:
Ja ... aber die Captchas sind logischerweise Zeit, Server und IP gebunden. Du kannst also schwerlich ein vom klamm-Server bei reCaprtcha angefordertes Captcha auf irgendeine Loseseite übertragen und auch noch in Echtzeit zurückschicken.
Zum Vergrößern anklicken....

Das Captcha nicht -aber das Bild ...

ausserdem kann ich ja warten bis einer seine Lose abholen will und dann eine Anmeldung forcieren -ich liebe Perl ! :)

... sollte nich viel länger als eine echte Anmeldung brauchen
 
thanlan schrieb:
IP-Sperre ist nutzlos weil man davon ausgehen kann das der Angreifer bei jeder Anfrage die IP wechselt - Ich würde das machen ...
Zum Vergrößern anklicken....
na das will ich sehen, also ich brauche gut 10 - 15 Sekunden bis sich der Router mit ner neuen IP eingewählt hat :biggrin:

thanlan schrieb:
Das Captcha nicht -aber das Bild ...

ausserdem kann ich ja warten bis einer seine Lose abholen will und dann eine Anmeldung forcieren -ich liebe Perl ! :)

... sollte nich viel länger als eine echte Anmeldung brauchen
Zum Vergrößern anklicken....
stimmt, daran hatte ich nun gar net gedacht, aber sollte wirklich net schwer sein, gabs das nicht schon auf P*rno-Portalen? Das die User Captchas eintippen sollten, um weitere Bilder zu sehen und dadurch der Schutz von Hotmail, Yahoo und co ausgehebelt wurde? Gut aber für nen Klam-Login wäre es mir zu aufwendig :ugly:


Könnte man nicht den Weg gehen, wenn in Zeitspanne X insgesammt Y IPs gesperrt wurden in Account Z reinzukommen, dass erst dann der Account "eingefroren" wird? Weil so könnte man ja Bots schreiben, die die Accounts systematisch einfrieren.
 
ip-sperren sind jetzt auch aktiv.
(und greifen bereits ... hilft also wieder ein bisschen mehr)

d.h. wenn eine ip mehrmals vergeblich versucht hat in X versch. accounts reinzukommen ("accounts an passwörten probieren") wird es genauso geblockt, wie wenn versucht wird mit X versch. passworten in einen acc zu kommen ("passwörter an accounts probieren").
 
klamm schrieb:
ip-sperren sind jetzt auch aktiv.
(und greifen bereits ... hilft also wieder ein bisschen mehr)

d.h. wenn eine ip mehrmals vergeblich versucht hat in X versch. accounts reinzukommen ("accounts an passwörten probieren") wird es genauso geblockt, wie wenn versucht wird mit X versch. passworten in einen acc zu kommen ("passwörter an accounts probieren").
Zum Vergrößern anklicken....

Super! Jedenfalls ein Schritt in die richtige Richtung.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Olli
    • Like
    • Haha
25 Jahre Klamm
2
Antworten
20
Aufrufe
2K
dalewilson
dalewilson
theHacker
Wie viel Zeit verbringt ihr täglich auf klamm.de?
Antworten
7
Aufrufe
2K
domino
domino
Konnan
Klamm.de 2.0: Die Wiederbelebung unserer Digitalwährung auf der Binance Smart Chain
Antworten
0
Aufrufe
2K
Konnan
Konnan
marc
klamm.de/down
Antworten
8
Aufrufe
2K
marc
marc
klamm
    • Like
  • Gesperrt
  • Angeheftet
klamm.de Newsletter
Antworten
3
Aufrufe
5K
klamm
klamm
Zurück
Oben