nach längerem nachdenken komme ich zum schluss das
jedes passwort in sekunden bruchteilen gehackt werden kann.(ohne accountsperre)

wenn also 1'000'000 computer, jeder mit einem anderen passwort angreiffen, hat einer bestimmt das richtige psw.

und der echte user hat ein problem..

kann man etwas dagegen tun?

Benutze nur sichere Paßwörter, also welche die gleichzeitig Groß- und Kleinbuchstaben und auch Zahlen enthalten.

Mache sie entsprechend lang, daß die Wahrscheinlichkeit sinkt, sie knacken zu können. Verlange also eine Mindestelänge und checke auch oben genanntes, bevor Du es überhaupt zuläßt.

Ändere die Paßwörter z.B. alle 5 Minuten oder noch öfter, damit man mit einem geknackten Paßwort nichts mehr anfangen kann. (Solche Systeme gibt es wirklich.)\n\n

<!--EDIT|steffenw|1066674792-->

aber es nützt nichts..

es ist unmöglich einer koordinierten brute force attacke standzuhalten.

mal im ernst: kann dein rechner 1 mio anfragen zur gleichen zeit managen? nein. und: mit echter passwortkomplexität reichen 1 mio. tests eigentlich nicht:

nimm 4 zeichen kategorien:

großbuchstaben (26)
kleinbuchstaben (26)
ziffern (10)
sonderzeichen (_-,.;:!?§$%&/()+*# = 18)

das heißt also, dass du 80 möglichkeiten pro zeichen hast und wenn du ein passwort von mindestens 10 zeichen hast sind das insgesamt 10.737.418.240.000.000.000 möglichkeit (ich glaube, das sind 10 trillionen). du musst von jeder kategorie mind. 1 zeichen drin haben und das zu knacken ist einfach unrealistisch.

und wenn du einbaust, dass 3maliges falsches eingeben, den account für ne stunde sperrt dauert es auch noch ewig!

ausßerdem kommt ja noch dazu, dass der username nicht bekannt sein muss!

Im web an ein php oder perkript übertragene daten

login.pl?$psw=42342fgdgd


kann kein
?#'

zudem keine zeilenumbruchusw. usw.

ein koodierter string sieht also so aus:
fg34u394erigjr94j3t934jtedfgj93uterjwtgdfokjSFgdfg

und wenn 1'000'000'000 Rechner hier angreiffen.
sind wir bei 1 mia kombinationen in 1 sekunde!

greiffen alle internet user an
so ist mein psw. das
1 mia möglichkeiten hat in 1 sekunde geknackt.

was soll ich dagegen tun?

zudem...
wenn die rechner mehrmals kommen also jeder 1'000
vesuche macht.
sind wir schon bei 1 bio.. versuche in wenigen minuten!

username und passwort das ist alles egal.


wen ich einfach alle kombinationsmöglichkeiten
die NACH dem ? kommen
abchecke, kann da stehen was will ich finde es.

selbst wenn da steht login.pl?heutelogin=34534&psw=ffsdf
egal

im prinzip geht es um den String nach dem ?
die summe all dieser daten muss
so gross sein dass es unhackbar ist nur wie?`

genau das habe ich ja vor gehabt.
aber genau das ist das problem...


bei einer Zeitsperre, für 1 h werden die user echt sauer...
wenn jemand so zum spass mal ein paar psw ausprobiert.

panik panik panik....

wie mache ich eine UNHACKBARE passwortabfrage?

[quote=master,20.10.2003, 19:44]nach längerem nachdenken[/quote]
Wie schon vor mir jemand sagte: Es koennen niemals 1 000 000 000 Rechner gleichzeitig auf das CGI-Skript zugreifen. So schnell ist der Server nicht und die Internetanbindung auch nicht. Mach Deine Rechnung nochmal, indem Du auch die Zeit beruecksichtigst, die so ein Angriff braucht.

Abgesehen davon ist es etwas unrealistisch, dass 1 000 000 000 Leute nichts Besseres zu tun haben, als Dein PW zu knacken.

Und: Don't Panic!