Confixx Sicherheitsproblem?

Ich frage mich gerade ob dieser Uservergabe bei Confixx so sicher ist.
Um in den Administrationsbereich zu kommen benötigt man nur Usernamen und Passwort.

Da man aber ganz einfach den Usernamen auslesen kann ist doch nur noch das Passwort ein Problem.


Nehmen wir mal osc-germany.de/ als Beispiel das auf web33.diana40.plusserver.de läuft.
Ein Ping der Domain gibt uns also die IP.


HOST: web33.diana40.plusserver.de/user/
USER: web33
PASS: ??????????

Ich denke hier ist mit einem BruteForce-Angriff eine Menge anzustellen da Confixx ein max. Passwort von 10 Stellen zulässt.

Oder irre ich mich jetzt?

Ergänzung:

Der MySQL-User heisst somit dann auch web33, die POP3 Postfächer werden im gleichen Prinzip angelegt.

Ich frage mich wirklich ob das nicht gefährlich ist da wir davon ausgehen das nicht jeder USER ein so sicheres Passwort verwendet.

Ich weiss nicht, wieviele Zeichen Confixx für ein Passwort zulässt. Weiter interessiert mich wieviele verschiedene Zeichen gültig sind. Sicher alle Buchstaben (26*2) sowie alle Zahlen (10), sowie...? Daraus könnten wir einfach errechnen, wie viele Brute Force Durchläufe maximal nötig sind.

Das einzige was ich mit Sicherheit sagen kann, ist, dass Confixx nach 3 erfolglosen Versuchen abklemmt. Ob Du IP oder Serversession wechseln musst ist mir auch nicht klar. Das Ziel des Verfahrens ist aber intuitiv klar. Bis Du eine genügende Zahl an Passwortversuchen an den Server geschickt hast, werden deine Haare grau, weil Du alle 3 Eingaben eine Pause machst. Deshalb denke ich nicht, dass mit Brute Force einiges zu machen wäre.
Ann.: 7 Zeichen Passwort, besteht nur aus Buchstaben (=>52 Möglichkeiten für das erste, 52 für das 2te....=>52^7 Mögliche Passwörter)
1 Sekunde pro Anfrage, 1 Sekunden pro 3er Browserwechsel = 4 Sekunden / 3 Anfragen, =>52^7 (naja, sagen wir 32^7, weil einfacher zu rechnen, sind dann etwas zwischen 6 und 7 Zeichen nur Buchstaben) also => 32^7*4/3=2^37/3 Sekunden => 2^37/180 Minuten => 2^37/180*60 Stunden =>2^37/180*60*24 Tage. Der Zähler hat 11 (?) Nullstellen und der Nenner 5 => etwa ne Million Tage/2 (weil 2 im Nenner), also 500k/365.25, sagen wir 500k/300Tage im Jahr gibt 5000/3el Jahre (weniger, da Tage/Jahr Rundung). Es geht also länger als 1000 Jahre.
Und das Passwort war einfach und kurz.

Kann das sein, es scheint mir sehr lange. Kann das mal jemand nachrechnen?

Allgemein gibt es in meinen Augen ein Sicherheitsproblem mit weit verbreiteter Software, da sie jeder kennt. Oftmals ist auch Open Source davon betroffen, da man dort ganz genau weiss, wie, weil man ja nachschauen kann.

Allem voran ist das Problem immer noch der User. Auch die mathematische Wahrscheinlichkeit hilft einem Anwender wenig, der sein Passwort "Haus" wählt. Dort exisitiert nach wie vor (wir auch immer so sein) eine grosse Sicherheitslücke.

PS Wenn ich 10 pro Sekunde schaffe, bin ich folglich mehr als 100 Jahre beschäftigt. (Schätzung)

WAS ist mit dem FTP?

Ich weiss nicht, ob der implizit vom Confixx konfiguriert wird, aber es scheint ein Lack von ca 1 Sekunde vorhanden zu sein, der Server lässt mich warten, also kannst Du obige Rechnung beibehalten. D.h. macht nach meiner Logik keinen Unterschied.

Ich finde zehn Zeichen ein wenig wenig für Confixx. Denke man kann schon ein längeres Passwort nehmen.

Es geht auch noch einfacher:

Man ändert das passwort wöchentlich. Oder sogar alle 3-4 Tage je nachdem wieviel zeit und Lust man hat.



@ Alain
Deine Rechnung ist interesannt. Hätte nicht gedach, dass man für ein siebenstelliges Passwort

so lange braucht um es knacken zu können, wenn man nach 3 Versuchen eine Pause machen muss.

@Alain

Aber bei FTP kannst du Paralell Anfragen senden... oder Irre ich?

Achtung, die Rechnung bezieht sich darauf, dass nur Buchstaben zugelassen sind a-z 26 Buchstaben + A-Z 26 Buchstaben gibt 52 Zeichen. D.h. pro Stelle im Passwort hast Du 52 verschiedene Möglichkeiten, also 52^n mit n=Anzahl Zeichen. Es ist aber davon auszugehen, dass Zahlen und sonstige Zeichen (_-) auch vorkommen können, also sind es noch mehr. Die eingerechnete 1 Sekundenpause macht nur 25% der Zeit aus.

Korrektomundo, aber an dieser Stelle nochmal, ich hab nicht gerechnet, sondern geschätzt, also bitte nachrechnen.

Genau aus diesem Grund, schätzte ich einfach mal 10 Anfragen pro Sekunde. Jetzt müsste mir ein Netzwerker sagen, wieviele FTP Anfragen pro Sekunde möglich sind. Trotzdem ist es in meinen Augen wichtig die Grössenordnung zu verstehen. Ob Du jetzt 10 oder 50 pro Sekunde schaffst, ich sitze trotzdem auf einem Polster von ca 52+12, also ca 65^10 Möglichkeiten. Have fun Brute Forcing me... ;-)

Aussedem noch so ein Detail am Rande: Der Usernamen wird auch nur erkannt, wenn ihr der Webmaster rumliegen lässt, wie z.B. im obigen Beispiel, aber das spielt bei einer Zahl wie 65^10 (ich hab jetzt den Rechner angeworfen, aber ich verrutsche immer beim Zählen der Nullen ;-) keine grosse Rolle.

na weiss nicht. war ja nur eine frage. ich denke halt viele nehmen ein einfaches passwort. ftp unterstützt mehrfache Verbindungen.


mit einem server im netz z.B. hast du ne ordentliche Bandbreite um genügend Verbindungen aufzubauen. Oder irre ich mich jetzt?


Naja, BruteForce ist glaube ich eh nicht die tolle Methode.....

Aber gut zu wissen



ach chefe, kennst du dich mit wlan aus. hatte ne frage gestellt aber keiner kann helfen glaube ich.
http://www.ayom.com/topic-6988.html

habe das mit dem Bruteforce mal getestet. Ich bekomme mit meiner Leitung (100MBit) etwa 60.000 Attempts pro Sekunde hin. Also teile mal deine Rechnung durch 60.000 und schon haben wir eine realistische Zahl.

Allerdings weiss ich nicht ob der Server vorher zu macht. Soweit wollte ich nicht testen ;-)

So, und hier an der normalen DSL-Leitung gehen etwa 250 Attemps pro Sekunde. Das würde lange dauern ;-)

So und hier eine genaue Rechnung:

Wir wissen das Confixx mindestens 4 Zeichen will, also brauche ich drunter nichts errechnen lassen.

Ich gehe jetzt von 6-8 Ziffern aus (Gefühlssache).


Wenn ich alle Verfügbaren Zeichen berrechne muss ich also 6161227014611136 Passwörter generieren.

Teilen wir diese Zahl jetzt durch 60.000 erhalten wir die Sekunden die ich brauche um mit einem Webserver das Passwort zu bruteforcen.

Und schon brauchen wir nicht weiter rechnen da wir etwa 3300 Jahre am rechnen sind. LOL

Aber ausgehend davon, dass 99% der Passwörter "echte" Wörter sind, reduzieren Sie die möglichkeiten drastisch! Duden hat ca. 125000 Wörter!

Wenn ich nur vom alphanumerischem ausgehe hätte ich das passwort mit hilfe eines webservers in max. 4,8 tagen. das geht also

500 Angriffe pro Sekunde gehen ohne Probleme auf dem HeimPC im übrigem. Neues Ergebnis.

habe euch mal den bekannten bruteforcer fuer windows bereitgestellt.er zeigt an wielange er fuer das knacken des passwortes braucht. du kannst das programm mehrfach oeffnen.

http://www.google.de/search?hl=de&q=brutus...tnG=Suche&meta=


durch exploits kommste schneller voran ein forum zu knacken. oder durch offene ports im server.

In meinen Augen sollte JEDES Script nach zehn falschen Anfragen KOMPLETT verriegeln. Das heisst der Account wird dann nur wieder manuell entsperrt.