Confixx Sicherheitsproblem?

Omnicron

Omnicron

Aktives Mitglied
Ich frage mich gerade ob dieser Uservergabe bei Confixx so sicher ist.
Um in den Administrationsbereich zu kommen benötigt man nur Usernamen und Passwort.

Da man aber ganz einfach den Usernamen auslesen kann ist doch nur noch das Passwort ein Problem.


Nehmen wir mal osc-germany.de/ als Beispiel das auf web33.diana40.plusserver.de läuft.
Ein Ping der Domain gibt uns also die IP.


HOST: web33.diana40.plusserver.de/user/
USER: web33
PASS: ??????????

Ich denke hier ist mit einem BruteForce-Angriff eine Menge anzustellen da Confixx ein max. Passwort von 10 Stellen zulässt.

Oder irre ich mich jetzt?

Ergänzung:

Der MySQL-User heisst somit dann auch web33, die POP3 Postfächer werden im gleichen Prinzip angelegt.

Ich frage mich wirklich ob das nicht gefährlich ist da wir davon ausgehen das nicht jeder USER ein so sicheres Passwort verwendet.
 
Ich weiss nicht, wieviele Zeichen Confixx für ein Passwort zulässt. Weiter interessiert mich wieviele verschiedene Zeichen gültig sind. Sicher alle Buchstaben (26*2) sowie alle Zahlen (10), sowie...? Daraus könnten wir einfach errechnen, wie viele Brute Force Durchläufe maximal nötig sind.

Das einzige was ich mit Sicherheit sagen kann, ist, dass Confixx nach 3 erfolglosen Versuchen abklemmt. Ob Du IP oder Serversession wechseln musst ist mir auch nicht klar. Das Ziel des Verfahrens ist aber intuitiv klar. Bis Du eine genügende Zahl an Passwortversuchen an den Server geschickt hast, werden deine Haare grau, weil Du alle 3 Eingaben eine Pause machst. Deshalb denke ich nicht, dass mit Brute Force einiges zu machen wäre.
Ann.: 7 Zeichen Passwort, besteht nur aus Buchstaben (=>52 Möglichkeiten für das erste, 52 für das 2te....=>52^7 Mögliche Passwörter)
1 Sekunde pro Anfrage, 1 Sekunden pro 3er Browserwechsel = 4 Sekunden / 3 Anfragen, =>52^7 (naja, sagen wir 32^7, weil einfacher zu rechnen, sind dann etwas zwischen 6 und 7 Zeichen nur Buchstaben) also => 32^7*4/3=2^37/3 Sekunden => 2^37/180 Minuten => 2^37/180*60 Stunden =>2^37/180*60*24 Tage. Der Zähler hat 11 (?) Nullstellen und der Nenner 5 => etwa ne Million Tage/2 (weil 2 im Nenner), also 500k/365.25, sagen wir 500k/300Tage im Jahr gibt 5000/3el Jahre (weniger, da Tage/Jahr Rundung). Es geht also länger als 1000 Jahre.
Und das Passwort war einfach und kurz.

Kann das sein, es scheint mir sehr lange. Kann das mal jemand nachrechnen?

Allgemein gibt es in meinen Augen ein Sicherheitsproblem mit weit verbreiteter Software, da sie jeder kennt. Oftmals ist auch Open Source davon betroffen, da man dort ganz genau weiss, wie, weil man ja nachschauen kann.

Allem voran ist das Problem immer noch der User. Auch die mathematische Wahrscheinlichkeit hilft einem Anwender wenig, der sein Passwort "Haus" wählt. Dort exisitiert nach wie vor (wir auch immer so sein) eine grosse Sicherheitslücke.

PS Wenn ich 10 pro Sekunde schaffe, bin ich folglich mehr als 100 Jahre beschäftigt. (Schätzung)
 
QUOTE Das einzige was ich mit Sicherheit sagen kann, ist, dass Confixx nach 3 erfolglosen Versuchen abklemmt. Ob Du IP oder Serversession wechseln musst ist mir auch nicht klar. Das Ziel des Verfahrens ist aber intuitiv klar. Bis Du eine genügende Zahl an Passwortversuchen an den Server geschickt hast, werden deine Haare grau, weil Du alle 3 Eingaben eine Pause machst. Deshalb denke ich nicht, dass mit Brute Force einiges zu machen wäre.


WAS ist mit dem FTP?
 
Ich weiss nicht, ob der implizit vom Confixx konfiguriert wird, aber es scheint ein Lack von ca 1 Sekunde vorhanden zu sein, der Server lässt mich warten, also kannst Du obige Rechnung beibehalten. D.h. macht nach meiner Logik keinen Unterschied.
 
QUOTE (Omnicron @ Mo 9.5.2005, 22:37) Passwort von 10 Stellen zulässt.

Ich finde zehn Zeichen ein wenig wenig für Confixx. Denke man kann schon ein längeres Passwort nehmen.

Es geht auch noch einfacher:
biggrin.gif


Man ändert das passwort wöchentlich. Oder sogar alle 3-4 Tage je nachdem wieviel zeit und Lust man hat.



@ Alain
Deine Rechnung ist interesannt. Hätte nicht gedach, dass man für ein siebenstelliges Passwort
QUOTE 52^7 Mögliche Passwörter
so lange braucht um es knacken zu können, wenn man nach 3 Versuchen eine Pause machen muss.

QUOTE Es geht also länger als 1000 Jahre.
Und das Passwort war einfach und kurz.
 
@Alain

Aber bei FTP kannst du Paralell Anfragen senden... oder Irre ich?
 
QUOTE Deine Rechnung ist interesannt. Hätte nicht gedach, dass man für ein siebenstelliges Passwort
QUOTE
52^7 Mögliche Passwörter
so lange braucht um es knacken zu können, wenn man nach 3 Versuchen eine Pause machen muss.

Achtung, die Rechnung bezieht sich darauf, dass nur Buchstaben zugelassen sind a-z 26 Buchstaben + A-Z 26 Buchstaben gibt 52 Zeichen. D.h. pro Stelle im Passwort hast Du 52 verschiedene Möglichkeiten, also 52^n mit n=Anzahl Zeichen. Es ist aber davon auszugehen, dass Zahlen und sonstige Zeichen (_-) auch vorkommen können, also sind es noch mehr. Die eingerechnete 1 Sekundenpause macht nur 25% der Zeit aus.

QUOTE Aber bei FTP kannst du Paralell Anfragen senden... oder Irre ich?

Korrektomundo, aber an dieser Stelle nochmal, ich hab nicht gerechnet, sondern geschätzt, also bitte nachrechnen.

QUOTE Wenn ich 10 pro Sekunde schaffe, bin ich folglich mehr als 100 Jahre beschäftigt.

Genau aus diesem Grund, schätzte ich einfach mal 10 Anfragen pro Sekunde. Jetzt müsste mir ein Netzwerker sagen, wieviele FTP Anfragen pro Sekunde möglich sind. Trotzdem ist es in meinen Augen wichtig die Grössenordnung zu verstehen. Ob Du jetzt 10 oder 50 pro Sekunde schaffst, ich sitze trotzdem auf einem Polster von ca 52+12, also ca 65^10 Möglichkeiten. Have fun Brute Forcing me... ;-)

Aussedem noch so ein Detail am Rande: Der Usernamen wird auch nur erkannt, wenn ihr der Webmaster rumliegen lässt, wie z.B. im obigen Beispiel, aber das spielt bei einer Zahl wie 65^10 (ich hab jetzt den Rechner angeworfen, aber ich verrutsche immer beim Zählen der Nullen ;-) keine grosse Rolle.
 
na weiss nicht. war ja nur eine frage. ich denke halt viele nehmen ein einfaches passwort. ftp unterstützt mehrfache Verbindungen.


mit einem server im netz z.B. hast du ne ordentliche Bandbreite um genügend Verbindungen aufzubauen. Oder irre ich mich jetzt?


Naja, BruteForce ist glaube ich eh nicht die tolle Methode.....

Aber gut zu wissen



ach chefe, kennst du dich mit wlan aus. hatte ne frage gestellt aber keiner kann helfen glaube ich.
http://www.ayom.com/topic-6988.html
 
habe das mit dem Bruteforce mal getestet. Ich bekomme mit meiner Leitung (100MBit) etwa 60.000 Attempts pro Sekunde hin. Also teile mal deine Rechnung durch 60.000 und schon haben wir eine realistische Zahl.

Allerdings weiss ich nicht ob der Server vorher zu macht. Soweit wollte ich nicht testen ;-)
 
So, und hier an der normalen DSL-Leitung gehen etwa 250 Attemps pro Sekunde. Das würde lange dauern ;-)
 
So und hier eine genaue Rechnung:

Wir wissen das Confixx mindestens 4 Zeichen will, also brauche ich drunter nichts errechnen lassen.

Ich gehe jetzt von 6-8 Ziffern aus (Gefühlssache).


Wenn ich alle Verfügbaren Zeichen berrechne muss ich also 6161227014611136 Passwörter generieren.

Teilen wir diese Zahl jetzt durch 60.000 erhalten wir die Sekunden die ich brauche um mit einem Webserver das Passwort zu bruteforcen.

Und schon brauchen wir nicht weiter rechnen da wir etwa 3300 Jahre am rechnen sind. LOL


 
Aber ausgehend davon, dass 99% der Passwörter "echte" Wörter sind, reduzieren Sie die möglichkeiten drastisch! Duden hat ca. 125000 Wörter!
 
Wenn ich nur vom alphanumerischem ausgehe hätte ich das passwort mit hilfe eines webservers in max. 4,8 tagen. das geht also
 
Hi,

Leute, leute, das was ihr hier so zusammenrechnet beunruhigt mich schon ein wenig.
Nehmen wir jetzt mal an, dass nicht jedes Login-Skript (kann ein beliebiges Forum oder so sein...) nicht nach 3 Versuchen abklemmt, sondern immer weiter laufen lässt...
Ich bin nicht gerade der Experte auf dem Gebiet der Sicherheit aber mein Gefühl sagt mir, dass ein Brute Force - Angriff bei einem solchen Skript einiges ausrichten kann.

Daher meine Frage an euch: Ist es sozusagen unerlässlich in ein Login-Script eine Versuch-Sperre einzubauen?

Natürlich wäre es gut, oder sogar wichtig, aber ich kann mir einfach nicht vorstellen, dass das bei jedem hinterletzten Login-Script der Fall ist... Natürlich ist nicht alles so wichtig wie ein Confixx-Account aber unerwünschte "Besucher" in seinem Memberbereich möchte wohl trotzdem niemand, sei es auch nur in einem Forum...

Greats,

S.B
 
In meinen Augen sollte JEDES Script nach zehn falschen Anfragen KOMPLETT verriegeln. Das heisst der Account wird dann nur wieder manuell entsperrt.
 
Sie müssen sich einloggen oder registrieren, um hier antworten zu können.
Zurück
Oben