-
Bitte um Info
Autor: BasAn 21.11.11 - 12:54
Wär nett wenn mir das mal jemand erklären könnte :)
Also: wir haben ein System an dem Passwörter durchprobiert werden, alle falsch bis mal das richtige kommt (selbst bei 3 Stellen und nur [a..z,A..Z,0..9] sind das 238328 Möglichkeiten).
Frage: das System weiss das da ständig falsche Passwörter eingegeben werden und sperrt das ganze nicht irgendwann mal? Nach z.B. dem 3. mal hintereinander wird nicht wenigstens mal ein Timeout gestartet so das die weiteren Versuche quasi ewig dauern würden? Oder das ganze wird nach dem 5. mal gesperrt und der Admin informiert? Oder kommen die Angreifer mit ständig neuen IPs?
Kann man da wirklich so viele Möglichkeiten einfach durchprobieren ohne das dem irgendwie Grenzen gesetzt werden?
Danke für Infos ... -
Re: Bitte um Info
Autor: trollianer 21.11.11 - 13:16
im top 10 ranking der beliebtesten Passwörter sind gleich zwei, die 3 Buchstaben haben.
sex
god
was soll man dazu noch sagen..
edit: in einem anderen thread den ich gerade gelesen hab, wird H2O vorgeschlagen xD. auch eine moeglichkeit.
1 mal bearbeitet, zuletzt am 21.11.11 13:18 durch trollianer. -
Re: Bitte um Info
Autor: SoniX 21.11.11 - 13:31
Nachdem man mit dem Passwort so geschlampt hatte nehme ich an, dass es da auch keine Sperre gab.
-
Re: Bitte um Info
Autor: Oldschooler 21.11.11 - 13:35
Überhaupt die Möglichkeit, bei der Eingabe nur 3 Buchstaben erfassen zu können, ist Schlamperei. Da kann man doch nicht erwarten dass man a) ein Passwort mit mehr Buchstaben vergibt oder b) eine Sperre entwickelt. Scheinbar ist Sicherheit bei Siemens nicht so wichtig.
-
Re: Bitte um Info
Autor: vheinitz@googlemail.com 21.11.11 - 14:12
Oldschooler schrieb:
--------------------------------------------------------------------------------
> Scheinbar ist Sicherheit bei Siemens nicht so wichtig.
Es hat doch mit Siemens nichts zu tun. Die Steuerungen sind frei programmierbar.
Abgesehen davon, der Artikel ist höchstwahrscheinlich ehe eine Ente. -
Re: Bitte um Info
Autor: denta 21.11.11 - 14:31
Wasserwerk & 3-stelliges Passwort = H2O
-
Re: Bitte um Info
Autor: SoniX 21.11.11 - 15:02
Wie kommst du auf Ente?
Stand schon vor einigen Monaten hier bei Golem, dass solche Anlagen oft unzureichend am Netz hängen. War nur eine Frage der Zeit. -
Re: Bitte um Info
Autor: vheinitz@googlemail.com 21.11.11 - 15:06
SoniX schrieb:
--------------------------------------------------------------------------------
> Wie kommst du auf Ente?
https://forum.golem.de/read.php?57568,2855993,2856064#msg-2856064 -
Re: Bitte um Info
Autor: SoniX 21.11.11 - 15:31
Kann da nun nichts finden, dass mich glauben lassen würde es sei eine Ente.
Ja klar sollte man solche Anlagen nicht ins offene Netz hängen und viele werden es auch nicht tun.
Aber man kann nicht von allen erwarten sich auszukennen. Da wirds dann halt eben ins Netz gehängt und schon ist man verwundbar. Merkt ja auch keiner was solange nichts passiert. -
Re: Bitte um Info
Autor: Ninos 21.11.11 - 17:41
BasAn schrieb:
--------------------------------------------------------------------------------
> Wär nett wenn mir das mal jemand erklären könnte :)
>
> Also: wir haben ein System an dem Passwörter durchprobiert werden, alle
> falsch bis mal das richtige kommt (selbst bei 3 Stellen und nur sind das
> 238328 Möglichkeiten).
>
> Frage: das System weiss das da ständig falsche Passwörter eingegeben werden
> und sperrt das ganze nicht irgendwann mal? Nach z.B. dem 3. mal
> hintereinander wird nicht wenigstens mal ein Timeout gestartet so das die
> weiteren Versuche quasi ewig dauern würden? Oder das ganze wird nach dem 5.
> mal gesperrt und der Admin informiert? Oder kommen die Angreifer mit
> ständig neuen IPs?
> Kann man da wirklich so viele Möglichkeiten einfach durchprobieren ohne das
> dem irgendwie Grenzen gesetzt werden?
>
> Danke für Infos ...
naja, solang man solche Sicherheitsmaßnahmen nicht verwendet, kann man ohne Probleme bruteforcen ;)
Außerdem greift man meistens eh zuerst auf eine dictionary attack zu^^
Das Selbe mit Linuxservern. Sogut wie alle Systeme sind nicht von Grund aus vor solchen Attacken (z.B. mit fail2ban) gesichert, und via SSH kann man sich mit dem root einloggen. Da geht dann sowas schon ganz schnell, einen Server zu knacken, erstrecht, wenn man keine mindestens, MINDESTENS! 16 Zeichen langen Passwörter verwendet, welche KEINE Wörter sind^^ -
Re: Bitte um Info
Autor: slashwalker 22.11.11 - 14:10
Ninos schrieb:
--------------------------------------------------------------------------------
> BasAn schrieb:
> ---------------------------------------------------------------------------
> -----
> > Wär nett wenn mir das mal jemand erklären könnte :)
> >
> > Also: wir haben ein System an dem Passwörter durchprobiert werden, alle
> > falsch bis mal das richtige kommt (selbst bei 3 Stellen und nur sind
> das
> > 238328 Möglichkeiten).
> >
> > Frage: das System weiss das da ständig falsche Passwörter eingegeben
> werden
> > und sperrt das ganze nicht irgendwann mal? Nach z.B. dem 3. mal
> > hintereinander wird nicht wenigstens mal ein Timeout gestartet so das
> die
> > weiteren Versuche quasi ewig dauern würden? Oder das ganze wird nach dem
> 5.
> > mal gesperrt und der Admin informiert? Oder kommen die Angreifer mit
> > ständig neuen IPs?
> > Kann man da wirklich so viele Möglichkeiten einfach durchprobieren ohne
> das
> > dem irgendwie Grenzen gesetzt werden?
> >
> > Danke für Infos ...
>
> naja, solang man solche Sicherheitsmaßnahmen nicht verwendet, kann man ohne
> Probleme bruteforcen ;)
> Außerdem greift man meistens eh zuerst auf eine dictionary attack zu^^
>
> Das Selbe mit Linuxservern. Sogut wie alle Systeme sind nicht von Grund aus
> vor solchen Attacken (z.B. mit fail2ban) gesichert, und via SSH kann man
> sich mit dem root einloggen. Da geht dann sowas schon ganz schnell, einen
> Server zu knacken, erstrecht, wenn man keine mindestens, MINDESTENS! 16
> Zeichen langen Passwörter verwendet, welche KEINE Wörter sind^^
Bei SSH sollte man garkein PW nehmen und die Auth einem RSA/DSA Key überlassen.