Loginversuche loggen

  • Seite 1 von 2
05.05.2010 14:22
avatar  truecolor ( gelöscht )
#1 Loginversuche loggen
tr
truecolor ( gelöscht )

Aus gegebenen Anlass hätte ich folgenden Vorschlag:

Es wird immer wieder vorkommen, dass versucht wird, sich manuell via Bruteforce unberechtigt als Admin in fremde Foren einzuloggen.

Dank Catpcha werden die Versuche weitgehend manuell bleiben.

Um die eigene Passwortstabilität und die Boardsicherheit überprüfen zu können, würde ich mir wünschen, dass speziell für den Board-Admin eine automatisch-generierte Hinweismitteilung erzeugt wird, sobald fehlgeschlagene Admin-Loginversuche stattfanden. Darin enthalten sollten Datum, Uhrzeit, IP-Adresse und das falsch eingegebenes Passwort enthalten sein.
z.B.:

Hinweis,
am 05.05.2010 um 10:23 wurde von der IP-Adresse 192.168.0.1 versucht, mit dem Passwort schnibbel Zugang zu Ihrem Admin-Account zu erhalten.



...oder als Protokoll:

|   Datum    |   Zeit  |   IP-Adresse  |   Passwort   |
| 05.05.2010 | 10:23 | 192.168.0.1 | schnibbel |



Jeder Admin hätte somit die Möglichkeit, Angriffe zu erkennen, und ggf. die eigene Passwortstärke zu überdenken/ändern, bevor eine erfolgreiche Attacke Schaden anrichten kann.


 Antworten

 Beitrag melden
05.05.2010 18:12
#2 RE: Loginversuche loggen
avatar
Mitglied

Das ist eine sehr gute Idee, truecolor!

****************************************************
Bitte nicht anchatten - der Chat ist bei mir ausgeblendet und ich sehe eure Nachrichten teilweise erst 20 Minuten später. Schreibt lieber eine PN.
Bitte außerdem nicht in Themen taggen, in denen ich eh aktiv bin. Ich habe alle Themen, an denen ich mitdiskutiere, aboniert und kriege mit, wenn ihr was schreibt. Danke!

 Antworten

 Beitrag melden
05.05.2010 19:05
avatar  ingolf
#3 RE: Loginversuche loggen
in
Mitglied

Ja, eine sehr gute Idee! Prinzipiell sollte diese Möglichkeit sogar jedem registrierten Benutzer zur Verfügung stehen! D.h. jeder Benutzer sollte über fehlgeschlagene Login-Versuche für seinen Account informiert werden, sofern er dies möchte. Hierzu könnte dem Benutzer z.B. eine PM (private Mail) oder besser noch eine echte eMail (jeder Benutzer hat ja bei seiner Registrierung eine eMail-Adresse angegeben) mit den relevanten Informationen (IP, etc.) zugesandt werden!


 Antworten

 Beitrag melden
05.05.2010 20:10
avatar  truecolor ( gelöscht )
#4 RE: Loginversuche loggen
tr
truecolor ( gelöscht )

Mir persönlich würde beim Einloggen auf meine Seite eine kleine Signalisierung (wie das grüne Kreuz bei neuer PM) schon genügen (siehe Anhang)

Mail (?) klar, gute Idee ... wer´s will. Dadurch kann man auch reagieren, wenn man nicht auf der Seite ist, dafür aber 24/7 email-Empfang hat.


 Antworten

 Beitrag melden
06.05.2010 10:43
avatar  Lestat
#5 RE: Loginversuche loggen
Le
Mitglied

Dafür, da ich schon mal irgendwie gehackt wurde (zu leichtes PW) und das ziemlich unschön war.

Das zweite L vom "L&L's":
http://39410.dynamicboard.de
Einzigartig.


 Antworten

 Beitrag melden
06.05.2010 14:52
#6 RE: Loginversuche loggen
avatar
Mitglied

und mit ip log mit dazu


 Antworten

 Beitrag melden
06.05.2010 19:37
avatar  gustav
#7 RE: Loginversuche loggen
gu
Technik

Eventuell könnte man das mit einer Anzeige über die Sicherheit des verwendeten Passworts verbinden und eine Warnung anzeigen, wenn dieses zu unsicher ist. Ich werde nächste Woche dazu ein Gespräch zu Realisierbarkeit anregen und mich wieder melden.

Xobor Forum-Software · Template Entwicklung, Frontend-Entwicklung · Werde Fan auf unserer Xobor-Facebook Seite


 Antworten

 Beitrag melden
06.05.2010 19:55
avatar  truecolor ( gelöscht )
#8 RE: Loginversuche loggen
tr
truecolor ( gelöscht )

Zitat von gustav
Eventuell könnte man das mit einer Anzeige über die Sicherheit des verwendeten Passworts verbinden und eine Warnung anzeigen,
wenn dieses zu unsicher ist.



Wer entscheidet denn über sicher oder unsicher? Dies, so finde ich, sollte man jedem selbst überlassen können.


 Antworten

 Beitrag melden
06.05.2010 19:57
avatar  gustav
#9 RE: Loginversuche loggen
gu
Technik

Man könnte prüfen, ob und wieviele verschiedene Zeichen (und wieviele Zahlen, Buchstaben und Groß- wie Kleinschreibung) sich darin befinden oder ob einfach der Vorname / Nachname oder der Wohnort verwendet wurde...

Xobor Forum-Software · Template Entwicklung, Frontend-Entwicklung · Werde Fan auf unserer Xobor-Facebook Seite


 Antworten

 Beitrag melden
06.05.2010 22:15
#10 RE: Loginversuche loggen
avatar
Mitglied

Ich finde die Idee gut. Und auch dieses:

Zitat von gustav
Man könnte prüfen, ob und wieviele verschiedene Zeichen (und wieviele Zahlen, Buchstaben und Groß- wie Kleinschreibung) sich darin befinden oder ob einfach der Vorname / Nachname oder der Wohnort verwendet wurde...

****************************************************
Bitte nicht anchatten - der Chat ist bei mir ausgeblendet und ich sehe eure Nachrichten teilweise erst 20 Minuten später. Schreibt lieber eine PN.
Bitte außerdem nicht in Themen taggen, in denen ich eh aktiv bin. Ich habe alle Themen, an denen ich mitdiskutiere, aboniert und kriege mit, wenn ihr was schreibt. Danke!

 Antworten

 Beitrag melden
07.05.2010 08:02
#11 RE: Loginversuche loggen
Ge
Mitglied

Genau wie Gustav es hier schreibt, wird es auch weltweit in der IT-Branche gemacht.
Keine Firma die ich kenne, verzichtet auf so eine Sicherheitseinschätzung von Passwörtern.
Unsichere Passwörter werden in unserer Firma gar nicht vom System anerkannt.


 Antworten

 Beitrag melden
07.05.2010 10:05
avatar  ingolf
#12 RE: Loginversuche loggen
in
Mitglied

Eine Prüfung der Sicherheit des verwendeten Passworts fände ich auch gut! Wenn dies realisiert werden sollte, sollte gleichzeitig aber auch die maximale Passwortlänge von 8 auf 16 Zeichen (mindestens) verdoppelt werden! Im Moment werden nur die ersten 8 Zeichen des Passworts geprüft.


 Antworten

 Beitrag melden
10.05.2010 11:54 (zuletzt bearbeitet: 10.05.2010 11:57)
avatar  gustav
#13 RE: Loginversuche loggen
gu
Technik

Ich habe nun dazu ein Ticket mit der Referenznummer #473 aufgenommen. Wir werden das also nun diskutieren und uns mit einer Einschätzung erneut melden.

Xobor Forum-Software · Template Entwicklung, Frontend-Entwicklung · Werde Fan auf unserer Xobor-Facebook Seite


 Antworten

 Beitrag melden
10.05.2010 19:12
#14 RE: Loginversuche loggen
avatar
Mitglied

Klingt super!

****************************************************
Bitte nicht anchatten - der Chat ist bei mir ausgeblendet und ich sehe eure Nachrichten teilweise erst 20 Minuten später. Schreibt lieber eine PN.
Bitte außerdem nicht in Themen taggen, in denen ich eh aktiv bin. Ich habe alle Themen, an denen ich mitdiskutiere, aboniert und kriege mit, wenn ihr was schreibt. Danke!

 Antworten

 Beitrag melden
10.05.2010 19:19
avatar  truecolor ( gelöscht )
#15 RE: Loginversuche loggen
tr
truecolor ( gelöscht )

Zitat von gustav
Ich habe nun dazu ein Ticket mit der Referenznummer #473 aufgenommen. Wir werden das also nun diskutieren und uns mit einer Einschätzung erneut melden.



Danke.


 Antworten

 Beitrag melden
Bereits Mitglied?
Jetzt anmelden!
Mitglied werden?
Jetzt registrieren!