100% sichere passwortabfrage (Allgemeines zu Perl)

[thread]5836[/thread]

100% sichere passwortabfrage

Leser: 2

Gast Gast

2003-10-20 19:26

hoffe das ein paar von der alten Garde mir weiterhelfen können:

Hier gehts zum link

Crian

2003-10-20 19:36

User since
2003-08-04
5870 Artikel
ModeratorIn

Interessant, mal wieder was vom alten Forum zu hören :-D

Die 100% sichere Passwortabfrage gibt es nicht... :-)

s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite

master

2003-10-20 19:40

User since
2003-10-20
610 Artikel
BenutzerIn
[default_avatar]

bitte ernsthaft..

lies meinen beitrag und dann antworten ok?

$i='re5tsFam ^l\rep';$i=~s/[^a-z| ]//g;$\= reverse "\U!$i";print;

Crian

2003-10-20 19:44

User since
2003-08-04
5870 Artikel
ModeratorIn

Ich hab Deinen Beitrag gelesen und auch die Antworten. Eine Kette ist immer so sicher wie ihr schwächstes Glied... davon abgesehen kann man z.B. die Übertragung der Eingabe des richtigen Passwortes u.U. anzapfen...

Ich weiß schon, was Du meinst, und die Lösung mit der Zeitverzögerung ist gar nicht so schlecht, aber stell Dir vor jemand will Dich ärgern und lässt alle 10 Minuten eine Abfrage mit falschem Passwort auf Deine gesamten Usernamen los, dann wird sich niemand einloggen können...

s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite

master

2003-10-20 19:48

User since
2003-10-20
610 Artikel
BenutzerIn
[default_avatar]

genau das meine ichja..
ich muss nur das verhindern können...dann klappts.

ps. die schwachstellen in der Mysql-DB
oder beim browser usw. sind ein andere thema.

wie kann ich die nervenden vom echten kunden trennen? :-)

ich kann dem kunden ein 2. passwort senden, aber das nützt auch nix, weil der bösewicht sich dann anhand dem 2. psw
wieder nerven kann.

$i='re5tsFam ^l\rep';$i=~s/[^a-z| ]//g;$\= reverse "\U!$i";print;

Crian

2003-10-20 19:59

User since
2003-08-04
5870 Artikel
ModeratorIn

Tja... das Problem ist, wenn die Eingabe (am Ende) 20 Minuten gesperrt ist und der "Nerver" alle paar Millisekunden versucht wieder reinzukommen, wird kein User dazwischenkommen. Deshalb könnte er auch nichts anderes eingeben.
Hätte der User ein Passwort, für dessen Eingabe keine Zeitsperre vorliegt, so könnte man die ja brute force hacken.

Ich fürchte, dass dieser Weg einfach nicht zum Ziel führt. Im Grunde kannst Du wahrscheinlich einfach nur dafür sorgen, dass das Passwort schön lang ist und eine Mindestanzahl Buchstaben, Sonderzeichen und Zahlen enthält.
Willst Du es noch sicherer, zwing die User dazu, alle zwei Monate ihr Passwort zu ändern.

Aber dieses Vorgehen dürfte kontraproduktiv sein:

a) schreiben sich die User diese komplizierten Passwörter garantiert auf -> Mißbrauchgefahr
b) werden die User genervt und bleiben vielleicht weg

Keine schönen Aussichten. Vielleicht hat ja jemand noch die richtige Idee, ich fürchte aber, dass über dieses Problem im Grunde schon gegrübelt wird, seit es Computer mit Multiuserbetriebssystemen gibt, also schon ziemlich lange. Das soll einen nicht abhalten, ich fürchte nur, es wird keine "einfache" Lösung geben :-(

s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite

master

2003-10-20 20:15

User since
2003-10-20
610 Artikel
BenutzerIn
[default_avatar]

Mein 2 stufiges system.

dieser millisekunden angriff ist das problem

zuden greiffen mehrere Hacker an..

Hier mein Konzept:

20 versuche ,danach für 5 min sperren.
---von jetzt an---
nach je 5 fehlern, 60 min sperren

Kunde wird nun informiert und bekommt hintertür..
eine E-Mail mit link.

bei diesem link ist accountnummer + richtiges psw + psw2

bis er sich eingewählt hat dauert es nun 5 sekunden.

würde klappen.... aber der nerver bekommt auch eine E-Mail
erhat sich ja auch angemeldet! :-(

darum kennt er diese Hintertür..
d.H. er wird von anfangan die hintertür hacken...

und somit sind wir wieder beim anfang..

denn selbst wenn ich PSW2 ein 20stellig mache
und eine verzögerrung von 5 sek. dann kann der hacker mit
1000 pc's millionen von kombinationen gleichzeitig senden
und ist dann drin.. :-(((

unterbinde ich die paralellprozesse oder schränke ein der sperre fangen wir wieder von vorne an.. *mist*

accountnummer + richtiges psw + psw2

wie du vielleicht merkst gehe ich von anfang an davon aus
das ich nicht von einem sondern von mio. hackern mit gefakten Ip die auch noch ständig ändern angegriffen werde.

*nachdenk*
es muss eine lösung geben..

$i='re5tsFam ^l\rep';$i=~s/[^a-z| ]//g;$\= reverse "\U!$i";print;

Crian

2003-10-20 20:22

User since
2003-08-04
5870 Artikel
ModeratorIn

Vielleicht könnte die URL der Hintertür immer zufällig erzeugt werden, so dass nur der per Mail benachrichtigte Kunde weiß, _wo_ er das zweite Passwort eingeben kann, zudem könnte man die Dauer der Erreichbarkeit dieser Hintertür einschränken und in der Mail darauf hinweisen, bis wann dieser Zugang steht.
Das Passwort würd ich aber nicht mitschicken, dass sollte er sich vielleicht bei der Anmeldung ausdenken.

Hmmm...

s--Pevna-;s.([a-z]).chr((ord($1)-84)%26+97).gee; s^([A-Z])^chr((ord($1)-52)%26+65)^gee;print;

use strict; use warnings; Link zu meiner Perlseite

master

2003-10-20 20:26

User since
2003-10-20
610 Artikel
BenutzerIn
[default_avatar]

naja das passwort erleichtert ihm dann vieles.

ps. das hintertür passwort ändern natürlich immer wieder ;-)

AAH!!!!! KANAL öffnen!!!!!!!!! ich habs!!

$i='re5tsFam ^l\rep';$i=~s/[^a-z| ]//g;$\= reverse "\U!$i";print;

jan10001

2003-10-20 20:26

User since
2003-08-14
962 Artikel
BenutzerIn
[default_avatar]

Nur mal ne Frage am Rande, meinst du das wörtlich?

Quote
Wie kann ich also das so machen, das nur 3 abfragen parralell möglich sind?

Wenn ja, dann limitiere doch dein Script. Ich meine damit, setze ein Limit wieviel Prozesse gestartet werden dürfen.

View all threads created 2003-10-20 19:26.