Zurück   klamm-Forum > klamm.de > klamm talk > Verbesserungsvorschläge

Antwort
 
LinkBack Themen-Optionen Ansicht
Alt 21.09.2008, 03:40:02   #1 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard Angriff auf Klamm Account

Da es jetzt schon mehrfach vorgekommen ist, dass ich mich auf klamm.de einloggen wollte; und nicht konnte(10min warten musste) weil irgendwer Passwörter ausprobiert hat ...

Mein Vorschlag für mehr Sicherheit: Passwort 3x falsch -> generierte Pin an Email -> Pinabfrage

Warum? Nach 3x fasches Passwort ist der Account erstmal zu und der Angreifer kann nach 10min keinen neuen versuch starten.

Bruteforce funktioniert auch andersrum -man muss nicht unbedingt Passwörter an accounts ausprobieren, man kann auch Accounts an Passwörten ....

Bei über 200000 accounts braucht das script locker über 10min um rum zu kommen d.h. die 10min pause sind keine sicherheit!
thanlan ist offline   Mit Zitat antworten
Alt 21.09.2008, 11:09:33   #2 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

bruteforce geht eh nicht wegen dem neuen captcha ...
und wenn das PW sicher ist muss man auch vor BF keine angst haben

@email
dann bekämen wir wieder 1000 mails mit "ich hab die reaktiverungsmail nicht bekommen ... "
 
klamm ist offline   Mit Zitat antworten
Alt 21.09.2008, 12:57:02   #3 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard

bruteforce geht eh nicht wegen dem neuen captcha ...

diese Behauptung lasse ich im Raum stehen -ich habe einen guten Lösungsansatz der Captcha's (auch bei bekannten Webmail-Anbietern) schon recht zuverlässig knackt. Wie zuverlässig muss sowas sein? BF ist das System der "großen Zahl" da sind 20% Trefferquote schon gefährlich.

Bei eMoney Bezahldiensten, z.B. eGold funktioniert das mit der Pin-Mail ganz gut. Wenn die Mail nicht angekommen ist -einfach 'ne neue Pin anfordern ...

...zugegeben ein X.509 Zertifikat ist die bessere Lösung.

Die Sicherheit bei Loseüberweisungen und EF nehme ich später mal auf's Korn!
thanlan ist offline Threadstarter   Mit Zitat antworten
Alt 21.09.2008, 13:06:10   #4 (permalink)
King with a crown
Benutzerbild von DelphiKing

ID: 46719
Lose-Remote

DelphiKing eine Nachricht über ICQ schicken
Reg: 20.04.2006
Beiträge: 6.705
Standard

Dramatisiere deinen Alltag

Solang hier nicht massenhaft Accounts geknackt werden, scheints doch in Ordnung zu sein.
Wer sich für klamm die Mühe macht und extra n Captchasovler bastelt hat eh andere Probleme.
 
DelphiKing ist offline   Mit Zitat antworten
Alt 21.09.2008, 15:17:04   #5 (permalink)
Chaos-BeseiTiger
Benutzerbild von Eckieck

ID: 15551
Lose-Remote

Eckieck eine Nachricht über ICQ schicken
Reg: 30.04.2006
Beiträge: 601
Standard

Zitat:
Zitat von thanlan Beitrag anzeigen
Da es jetzt schon mehrfach vorgekommen ist, dass ich mich auf klamm.de einloggen wollte; und nicht konnte(10min warten musste) weil irgendwer Passwörter ausprobiert hat ...

Mein Vorschlag für mehr Sicherheit: Passwort 3x falsch -> generierte Pin an Email -> Pinabfrage

Warum? Nach 3x fasches Passwort ist der Account erstmal zu und der Angreifer kann nach 10min keinen neuen versuch starten.

Bruteforce funktioniert auch andersrum -man muss nicht unbedingt Passwörter an accounts ausprobieren, man kann auch Accounts an Passwörten ....
Ohne den ganzen Vorgang beim Login zu kennen dürfte beim Gro der User (auch wegen Cookie) das mit dem Login und zeitgleich ner Sperre wegen einem Scherzkeks weitaus seltener sein wie "jedesmal" nach drei Versuchen ne Mail mit ner Pin. Fände ich auch mega nervig ;p

> Bei über 200000 accounts braucht das script locker über 10min um rum zu
> kommen d.h. die 10min pause sind keine sicherheit!

Soweit kommt (wird kommen) das "Script" gar nicht erst.
 
Eckieck ist offline   Mit Zitat antworten
Alt 23.09.2008, 13:18:43   #6 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von DelphiKing Beitrag anzeigen
Wer sich für klamm die Mühe macht und extra n Captchasovler bastelt hat eh andere Probleme.
Du siehst das falsch
Die Klamm-Captchas kommen von dem Captcha-Dienst ReCaptcha, und da das der größte externe Anbieter für Captchas ist, ist es direkt lohnend dafür nen Solver zu bauen, man kann ja noch tausende andere Seiten damit bedienen.
Es muss ja kein Klammer sowas entwickeln, es kann ja auch wer anderes für einen anderen Dienst sein.

Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 28.09.2008, 18:47:34   #7 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard

Zitat:
Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
IP-Sperre ist nutzlos weil man davon ausgehen kann das der Angreifer bei jeder Anfrage die IP wechselt - Ich würde das machen ...
thanlan ist offline Threadstarter   Mit Zitat antworten
Alt 28.09.2008, 19:16:17   #8 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken.
Könnte ich neben der 3-Fehlversuche für ID X-Sperre auch einbauen, aber damit das überhaupt sinnvoll greift, würde das voraussetzen, dass der Angreifer im Besitz eines reCaptcha-Solvers ist ... und das bezweifle ich.
 
klamm ist offline   Mit Zitat antworten
Alt 28.09.2008, 19:23:46   #9 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard

Zitat:
Zitat von ice-breaker Beitrag anzeigen
Du siehst das falsch
Die Klamm-Captchas kommen von dem Captcha-Dienst ReCaptcha, und da das der größte externe Anbieter für Captchas ist, ist es direkt lohnend dafür nen Solver zu bauen, man kann ja noch tausende andere Seiten damit bedienen.
Es muss ja kein Klammer sowas entwickeln, es kann ja auch wer anderes für einen anderen Dienst sein.

Wie sieht es eigentlich mit IP-Sperre aus? Server mit einer dicken Anbindung kann man dann leicht blocken. Und wegen dem Proxy Argument, Wikipedia macht es ja genauso, mit dem Editieren von Beiträgen und das funktioniert bei denen ja ganz gut.
Zitat:
Zitat von klamm Beitrag anzeigen
Könnte ich neben der 3-Fehlversuche für ID X-Sperre auch einbauen, aber damit das überhaupt sinnvoll greift, würde das voraussetzen, dass der Angreifer im Besitz eines reCaptcha-Solvers ist ... und das bezweifle ich.
... gib den folgenden security code ein um die Lose Belohnung zu erhalten ...

das ist der einfachste solver und dazu muss ich nichma programmieren können
thanlan ist offline Threadstarter   Mit Zitat antworten
Alt 28.09.2008, 19:55:20   #10 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

Zitat:
Zitat von thanlan Beitrag anzeigen
... gib den folgenden security code ein um die Lose Belohnung zu erhalten ... das ist der einfachste solver und dazu muss ich nichma programmieren können
Ja ... aber die Captchas sind logischerweise Zeit, Server und IP gebunden. Du kannst also schwerlich ein vom klamm-Server bei reCaprtcha angefordertes Captcha auf irgendeine Loseseite übertragen und auch noch in Echtzeit zurückschicken.
 
klamm ist offline   Mit Zitat antworten
Alt 28.09.2008, 20:11:08   #11 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
Ja ... aber die Captchas sind logischerweise Zeit, Server und IP gebunden. Du kannst also schwerlich ein vom klamm-Server bei reCaprtcha angefordertes Captcha auf irgendeine Loseseite übertragen und auch noch in Echtzeit zurückschicken.
Das Captcha nicht -aber das Bild ...

ausserdem kann ich ja warten bis einer seine Lose abholen will und dann eine Anmeldung forcieren -ich liebe Perl ! :-)

... sollte nich viel länger als eine echte Anmeldung brauchen
thanlan ist offline Threadstarter   Mit Zitat antworten
Alt 29.09.2008, 13:39:26   #12 (permalink)
return void
Benutzerbild von ice-breaker

ID: 93995
Lose-Remote

ice-breaker eine Nachricht über ICQ schicken
Reg: 27.04.2006
Beiträge: 6.271
Standard

Zitat:
Zitat von thanlan Beitrag anzeigen
IP-Sperre ist nutzlos weil man davon ausgehen kann das der Angreifer bei jeder Anfrage die IP wechselt - Ich würde das machen ...
na das will ich sehen, also ich brauche gut 10 - 15 Sekunden bis sich der Router mit ner neuen IP eingewählt hat

Zitat:
Zitat von thanlan Beitrag anzeigen
Das Captcha nicht -aber das Bild ...

ausserdem kann ich ja warten bis einer seine Lose abholen will und dann eine Anmeldung forcieren -ich liebe Perl ! :-)

... sollte nich viel länger als eine echte Anmeldung brauchen
stimmt, daran hatte ich nun gar net gedacht, aber sollte wirklich net schwer sein, gabs das nicht schon auf Porno-Portalen? Das die User Captchas eintippen sollten, um weitere Bilder zu sehen und dadurch der Schutz von Hotmail, Yahoo und co ausgehebelt wurde? Gut aber für nen Klam-Login wäre es mir zu aufwendig


Könnte man nicht den Weg gehen, wenn in Zeitspanne X insgesammt Y IPs gesperrt wurden in Account Z reinzukommen, dass erst dann der Account "eingefroren" wird? Weil so könnte man ja Bots schreiben, die die Accounts systematisch einfrieren.
"Die Wahrheit entgeht dem, der nicht mit beiden Augen sieht." -Orici

www.internet-dsl-flatrate.de
ice-breaker ist offline   Mit Zitat antworten
Alt 29.09.2008, 13:44:11   #13 (permalink)
Administrator
Benutzerbild von klamm

ID: 20876
Lose-Remote

Reg: 20.04.2006
Beiträge: 10.969
Standard

ip-sperren sind jetzt auch aktiv.
(und greifen bereits ... hilft also wieder ein bisschen mehr)

d.h. wenn eine ip mehrmals vergeblich versucht hat in X versch. accounts reinzukommen ("accounts an passwörten probieren") wird es genauso geblockt, wie wenn versucht wird mit X versch. passworten in einen acc zu kommen ("passwörter an accounts probieren").
 
klamm ist offline   Mit Zitat antworten
Alt 29.09.2008, 16:40:30   #14 (permalink)
Benutzer

ID: 326256
Lose-Remote

Reg: 10.08.2008
Beiträge: 41
Standard

Zitat:
Zitat von klamm Beitrag anzeigen
ip-sperren sind jetzt auch aktiv.
(und greifen bereits ... hilft also wieder ein bisschen mehr)

d.h. wenn eine ip mehrmals vergeblich versucht hat in X versch. accounts reinzukommen ("accounts an passwörten probieren") wird es genauso geblockt, wie wenn versucht wird mit X versch. passworten in einen acc zu kommen ("passwörter an accounts probieren").
Super! Jedenfalls ein Schritt in die richtige Richtung.
thanlan ist offline Threadstarter   Mit Zitat antworten
Antwort

Gesponsorte Links

Anzeige


Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)
 
Themen-Optionen
Ansicht

Forumregeln
Es ist Ihnen nicht erlaubt, neue Themen zu verfassen.
Es ist Ihnen nicht erlaubt, auf Beiträge zu antworten.
Es ist Ihnen nicht erlaubt, Anhänge hochzuladen.
Es ist Ihnen nicht erlaubt, Ihre Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks sind an
Pingbacks sind an
Refbacks sind an


Ähnliche Themen
Thema Autor Forum Antworten Letzter Beitrag
[A] Bob Woodward - Der Angriff (Buch) mkay1337 Lose4Misc 0 09.09.2008 02:22:04
ich möchte einen angriff auf klamm-party.de starten [bis 16:00] the-baboon Suche Werber: Loseseiten 7 12.05.2007 12:51:10


Alle Zeitangaben in WEZ +2. Es ist jetzt 16:18:45 Uhr.