Auf dieser Website werden Cookies u.a. für Werbezwecke, Zwecke in Verbindung mit Social Media sowie für analytische Zwecke eingesetzt. Klicken Sie bitte hier, um anzuzeigen, welche Cookies eingesetzt werden und wie Sie Änderungen an Ihren Cookie-Einstellungen vornehmen können. Wenn Sie weiter auf der Website surfen, erklären Sie sich mit dem Einsatz von Cookies und der Datenschutzrichtlinie einverstanden.

CCC (Chaos Computer Club) CCC (Chaos Computer Club)

34c3.tuwat!

MRMCD2019 Über Bruteforce Protection und warum das gar nicht so leicht ist

vor 31 Minuten
0
0
1

https://media.ccc.de/v/2019-220-ber-bruteforce-protection-und-warum-das-gar-nicht-so-leicht-ist



Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht.

Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler\*innen und Nutzer\*innen.

Leeo

https://talks.mrmcd.net/2019/talk/PMPV9P/