Apache Friends Support Forum

[Nobbie]

Warum schaust Du nicht einfach ins deutsche Wikipedia? Da ist doch an allen Ecken und Enden die Rede davon, dass Geschwindigkeit ein Bestandteil der Brut Force Attacke ist. Insbesondere wird auch noch darauf hingewiesen, dass (genau wie im vorliegenden Fall) eine zeitliche Verzögerung (die hier schon einfach durch das Online Formular gegeben ist, welches durch wp-login geliefert wird) eine Brut Force Attacke gar nicht erst möglich macht:

In der Praxis werden Brute-Force Angriffe auch dadurch erschwert, dass die Zahl der Versuche begrenzt ist und nach einigen erfolglosen Passworteingaben der Zugang gesperrt wird oder weitere Versuche erst nach einer Wartezeit möglich sind.[2] Trotzdem wurde im September 2014 bekannt, dass z. B. Apple in seiner iCloud längere Zeit solche einfachen Maßnahmen nicht implementiert hatte und zumindest einfache Brute-Force Attacken möglich waren

Man muss den obigen Satz nur anders herum lesen, hätte Apple in seiner iCloud eine vergleichbare Wartezeit eingebaut (die hier allein schon durch die Implementierung gegeben ist), wäre eine Brut Force Attacke nicht möglich gewesen.

https://de.wikipedia.org/wiki/Brute-Force-Methode

Letztendlich ist es doch Haarspalterei, ob man nur "Brut Force" als schlechten Algorithmus definiert, oder ob man (wie hier!) von einer "Brut Force Attacke" spricht, die natürlich zum Ziel hat, in einem sinnvollen Zeitraum (der kann gerne auch Wochen betragen) eine Lösung zu präsentieren. Um letzteres geht es hier. Die Abwehr gegen eine Brut Force Attacke besteht im Prinzip grundsätzlich darin, die Attacke zu schwächen, in dem man die Anzahl Versuche in ein zeitliches Fenster einschränkt, was die Erfolgsaussichten so stark minimiert, dass die Attacke als gescheitert anzusehen ist. Können wir uns vielleicht darauf einigen? Und eine Attacke auf wp-login ist von vorneherein zum Scheitern verurteilt, weil die infrastruktur (Netzwerk, Apache usw.) viel zu langsam ist, um eine für den Erfolg notwendige Anzahl Versuche in einer menschlich sinnvollen Zeit zu absolvieren. Das Wikipedia spricht in diesen Fällen davon, dass solche Wartezeiten eine Brut Force Attacke nicht ermöglichen, dieser Formulierung würde ich mich anschließen.

[Altrea]

Warum schaust Du nicht einfach ins deutsche Wikipedia?

Weil ich schon schlechte Erfahrungen mit dem Wahrheitsgehalt von Wikipedia Einträgen (insbesondere der deutschen Wikipedia) gemacht habe. Das liegt aber in der Natur der Sache, da ein offenes Wiki von jedem editiert werden kann. Zudem sind die englischen Beiträge in vielen Fällen umfangreicher und Quellenbelegter. Das ist aber eine rein persönliche Präferenz. Deshalb sichere ich Informationen von Wikipedia in der Regel auch mit einer zweiten Quelle ab.

Den von dir zitierten Absatz finde ich tatsächlich diskussionswürdig. Zum einen wird im ersten Satz lediglich von "erschweren" und nicht "verhindern" gesprochen, zum anderen impliziert der letzte Satz, dass man Brute Force Attacken durch treffen dieser genannten Maßnahmen unmöglich machen kann. Das widerspricht sich in meinen Augen, zumindest ist es aber schwammig genug formuliert um da alles mögliche hineinzuinterpretieren.

Ich finde auch generell dass sich der ersten Teil des deutschen Wikipedia Artikels sehr einseitig auf lokale Brute Force Attacken forciert (mit Ausnahme von lediglich dem iCloud Beispiels).

Aber sei es drum, ich akzeptiere dass man zu dem von dir erlangten Eindruck kommen kann.
Einigen wir uns darauf, dass wir eine unterschiedliche Definition von Brute Force haben und es für beide Seiten Quellen gibt die diese Auffassung stützen.

[Nobbie]

Einigen wir uns darauf, dass wir eine unterschiedliche Definition von Brute Force haben und es für beide Seiten Quellen gibt die diese Auffassung stützen.

Ich habe meinen Beitrag oben ergänzt, weil ich glaube, wo unser gegenseitiges Mißverständnis liegt. Du betrachtest "Brut Force" als alleinigen "Algorithmus", was man sicherlich machen kann, mir geht es aber um die explizit genannte "Brut Force ATTACKE". also eine Attacke, die sich der Brut Force Methode bedient. Das ist ja genau genommen nicht das gleiche. Und die Attacke (die hier verhindert werden soll), die braucht man nicht zu verhindern, die wird schon durch die Infrastruktur verhindert (und das ist der Punkt, auf den es mir hier ankommt), die kommt nur mit idiotischem Glück zum Ziel (aber das kann man nie ausschließen, auch ein blindes Huhn kann theoretisch ein Passwort erraten).

[Altrea]

Ich habe meinen Beitrag oben ergänzt, weil ich glaube, wo unser gegenseitiges Mißverständnis liegt. Du betrachtest "Brut Force" als alleinigen "Algorithmus", was man sicherlich machen kann, mir geht es aber um die explizit genannte "Brut Force ATTACKE". also eine Attacke, die sich der Brut Force Methode bedient.

Nein, das denke ich nicht. Brute Force ist die Methode, soweit sind wir uns denke ich einig. Brute Force Attacke ist der Vorgang, also die Anwendung dieser Methode.
Für mich ist es unerheblich ob eine solche Attacke in wenigen Tagen die komplette Suchmenge abfrühstücken kann oder dafür Jahrtausende braucht.

Es macht sehr wohl einen Unterschied in der Praktikabilität. Niemand (bei gesundem Menschenverstand) wird sich einer Angriffsmethode bedienen, bei der die Erfolgsaussichten aus Effizienzgründen nahezu gegen 0 gehen, bzw. allgemein die Kosten in keinem Verhältnis stehen zum Nutzen. Aber das ist in meinen Augen unerheblich bei der Definition "Brute Force Angriff: ja oder nein".

Wenn ein unbekannter Jahrzehntelang verschiedene Schlüssel an deinem Türschloss ausprobiert, mit der intention den Sicherheitsmechanismus Tür zu überwinden ist es dennoch ein Einbruchsversuch - selbst dann wenn die Chance dass er zufällig einen passenden Schlüssel probiert gegen 0 geht. Er greift deine Sicherheitseinrichtung an und zwar mit einer ganz bestimmten Angriffsmethode die man auch so benennen kann.

[Nobbie]

Für mich ist es unerheblich ob eine solche Attacke in wenigen Tagen die komplette Suchmenge abfrühstücken kann oder dafür Jahrtausende braucht.

Für mich aber nicht. Der Erfolg einer Brut Force Attacke ist ausschließlich in ihrer Performance messbar (es gibt kein anderes Bewertungskriterium, irgendwann kommt jeder an) und wenn diese Performance nach menschlichem Ermessen in keiner sinnvollen Zeit liegt, ist die Attacke gescheitert.

Die Abwehr einer Brut Force Attacke besteht ausschließlich darin, den Erfolg so weit wie möglich nach hinten zu schieben. Wenn man es richtig abstrahiert, läuft es ausschließlich auf diesen Aspekt hinaus.