Re: Sinnvoll fail2ban und SSH-pubkey Authentifizierung kombinieren?
Am Fri, 01 Jun 2012 12:26:34 +0200
schrieb David Raab <debian@david-raab.de>:
> On 06/01/2012 09:38 AM, Michael Stummvoll wrote:
> > fail2ban und ähnliche "nach x loginversuchen sperren"-Ansätze
> > haben bei diensten über Internet IMHO sowieso keinen
> > Sicherheitsgewinn. Ein Angreifer hat bei einem guten Passwort
> > sowieso keine reale Chance, da per bruteforce oder
> > dictionary-angriff reinzukommen, auch ohne diese Systeme.
>
> Ne, das ist so definitiv Falsch. Grundsätzlich ist absolut alles
> knackbar. Genauso ist jede Verschlüsselung knackbar. Die Sicherheit
> besteht nur aus zwei dingen. Die Schlüssel Sicherheit und ebenfalls
> die dauer wie lange es dauert zum entschlüsseln bzw. alle
> Kombinationen (Brute-Force) auszuprobieren.
>
> Grundsätzlich wenn man eine Brute-Force Attacke startet hat man
> irgendwann das richtige passwort. Zu sagen "hat sowieso keine chance"
> ist da eher volkommen falsch.
Ein Passwort aus 8 Kleinbuchstaben und Ziffern ist bei 1000 versuchen
pro Sekunde in durchschnittlich 40 Jahren geknackt - wenn man davon
ausgeht, dass der Angreifer schon entsprechendes Vorwissen hat - man
bedenke, dass ich hier von einem relativ "unsicheren" Passwort
ausgegangen bin. Ob ein theoretischer Angriff 40, 400 oder 4000 Jahre
dauert ist nur noch vom akademischen Blickwinkel interessant. Und da
wir hier von einem Service reden, der über das Internet angegriffen
wird, ist auch davon auszugehen, dass 1000 versuche/s in nächster zeit
nicht großartig überschritten werden.
Liebe Grüße,
Micha
Reply to: