User bei Hackversuchen sperren?

[kourty]

Hallo liebes Forum,

bei meinem neuen Projekt überlege ich, ob User bei Hackversuchen gesperrt werden sollen. Das bedeutet, wenn eine Usereingabe nicht valide ist, speichere ich das und aber einer bestimmten Anzahl an nicht validen Eingaben, die auf jeden Fall unnormal ist, sperre ich vorübergehend das Konto und schicke dem User eine Email.

Nun meine Frage an euch: Ist das eine "best practice"? Macht ihr das auch so? Oder ist eher davon abzuraten, da dies gewissermaßen den Ehrgeiz der Hacker noch mehr herausfordert? Was habt ihr für Erfahrungen gemacht?

 

[timestamp]

Am einfachsten ist es einfach den Login für 5-15min zu sperren nach X Fehleingaben.
Das mit der Komplettsperrung ist so eine Sache, weil ich so jegliche Accounts anderer User blockieren kann, und diese erst über das Email verfahren reaktiviert werden müssen. Halte ich für unpraktisch.
5-15min reichen dicke, um jegliche Angriffsversuche ala Brutforce ins Nirvana zu befördern.

edit: Alternativ kann man auch nach dem X. fehlgeschlagenen Versuch zusätzlich ein Captcha einbinden, um Bots fernzuhalten bzw die Eingabe lästiger zu machen, wenn der Angriff von humaner Seite erfolgt.

 

[kourty]

Ja, eine komplette Löschung wäre wahrscheinlich zu restriktiv. So wie du es beschrieben hast werde ich es jetzt wahrscheinlich auch machen.

 

[Thomasio]

Meine Lösung dazu heisst, UserName != LoginName.
Diese Hackversuche beginnen fast alle mit der Tatsache, dass der Username und damit der erste Teil vom Login bekannt ist und nur noch das Passwort gefunden werden muss.
Wenn der UserName NICHT gleichzeitig der LoginName ist muss der Hacker zuerstmal den LoginNamen rausfinden und wenn dieselbe IP zuviele Versuche hat wo beides falsch ist, sperre ich ihm die IP.

 

[timestamp]

Da finde ich es einfacher die Emailadresse als Logindaten zu benutzen. So ersparrt man dem User sich eine zusätzlcihe Sache merken zu müssen.

 

[kourty]

Ja, so mache ich es auch. Wenn ein Hacker dreimal ein falsches Passwort eingegeben hat, muss er 15min warten, bei 10mal wird er 24h gesperrt. Da funktioniert kein Brutforce.

Wie identifiziert ihr denn die User? Nur über die IP? Das mache ich momentan. Die großen Unternehmen kochen aber ja auch nur mit Wasser, und andere Identifizierungsmöglichkeiten kenne ich nicht. Sessions sind ja im Prinzip nur Cookies, und die lassen sich Client-seitig löschen.

 

[splasch]

Ihr seit schon Lustig soweit ich rausgelesen hab geht ihr nur davon aus das Hackversuche bei einen Login gestartet werden. Oft wird einfach der Login übergangen somit braucht er dort garnicht versuchen.

Und die Hack angriffe finden oft erst meisten an ganz anderen Stellen statt. Bei Spiele um sich vorteile zu verschaffen oder andere User einfach zu manipulieren. Bei Communties um an Persönliche daten ranzukommen und viele mehr.

 

[timestamp]

Hier ging es einzig um allein um das "knacken" des Benutzerpasswortes. Dass andere Sicherheitslücken (CrossSiteScripting, SQL-Injections, andere nicht escapte Usereingaben, Formulare die sensible Daten enthalten, etc.) bestehen, sollte jedem klar sein.

 

[kourty]

Es kommt auf die Seite an, ob eine Sperrung des Logins hinreichend ist. In meinem aktuellen System beispielsweise kann man nur als eingeloggter User etwas machen, sonst kommt man nicht über die 3. Codezeile hinaus. Natürlich kann sich ein Hacker mehrmals anmelden und so die Sperrung umgehen, aber das alles kostet Zeit. Außerdem kann im Extremfall die IP vom Einloggen abgehalten werden.

Somit sind unsere Versuche, Sicherheit zu gewährleisten, hoffentlich nicht nur "Lustig", sondern halten auch Hacker auf