Login verlangsamen

Weil ich gerade einen entsprechenden Beitrag gelesen habe: Ihr solltet bei Euren Login-Systemen dafür sorgen, dass die nach falsch eingegebenen Daten langsamer werden.

Es gibt eine Menge Leute da draußen, die ständig Programme laufen lassen, die Webseiten auf Fehler abklappern. Oder den Zugang probieren mit Passwortlisten.

Unsere Bandseite wurde tatsächlich einmal gehackt. Allerdings waren wir so dumm, ein Passwort zu verwenden, das im englischen Wörterbuch steht. Und keine Ziffern oder Sonderzeichen enthielt. Und weil es dort keine Zeitbegrenzung beim Passwortprobieren gab.

Für WordPress gibt es viele Lösungen, einfach nach „Limit Login Attempts“ suchen. Habs bei mir ziemlich streng eingestellt: nach 2 Fehlversuchen wird man für 30 Minuten ausgesperrt, nach 3 Aussperrungen wird man 24 Stunden gesperrt.

Eine gute Ergänzung ist ein Plugin zur 2-Faktor-Identifizierung. Dann muss man zusätzlich zum Passwort eine auf dem Smartphone ermittelte Zahl eingeben. Das kann nerven. Bei allen Online-Shops habe ich das – wenn möglich – aktiviert.

Das sind alles Maßnahmen nach dem „Käsescheiben“-Prinzip. Wen ich genug löchrige Käsescheibletten aufeinanderlege, wirds trotzdem irgendwann dicht 😉 Soll heißen: jede Maßnahme hat ihre Schwächen, in Summe wird der Schutz üblicherweise besser.

Hängt immer auch davon ab, gegen wen Ihr Euch schützen wollt. Wenn die NSA hinter Euch her ist, müsst ihr alles verbrennen und nach Moskau ziehen. Gegen alles andere finden sich einfachere Mittel 🙂

6 Gedanken zu „Login verlangsamen“

  1. Irgendwann hab ich auf Empfehlung mal so ein Torwächter-Plugin installiert, ohne dass ich mir vorher groß Gedanken darüber gemacht hätte. Aber das führt halt Statistiken darüber, was so im Lauf der Woche passiert, und offensichtlich wird so eine WordPress-Instanz quasi minütlich auf Schwachstellen hin angepiekst. Es ist wirklich ekelhaft, wie viel kriminelle Energie im Netz unterwegs ist.

    Antworten
    • Hm, bei „Limit Login Attempts“ ist auch eine Statistik mit gewaltigen Zahlen dabei. Wenn man dort genau hinschaut, zählen die die Angriffe auf ALLEN WordPress-Seiten (frag mich nicht, wie das mit Datenschutz hinkommt oder ob das nur Angriffe auf die Bezahlvariante sind, die via Cloud läuft).

      Antworten
      • ich hab das auch nie systematisch beobachtet oder gar Buch geführt, aber ich würde aus der Erinnerung sagen, dass die meisten Alarme bei mir über Zugriffsversuche auf die Login-Seite kommen. (Ich habe wp-login.php deaktiviert und nutze zum Login einen individuellen URL, d.h. jeder Aufruf führt sofort zur Sperrung.)

        Was man auf den sonstigen Seiten noch machen kann, außer bescheuerte Spamkommentare zu hinterlassen, damit habe ich mich noch nicht genauer beschäftigt. Wenn das, was ich an Zeit in mein Hobbyblog investiere, irgendwann nicht mehr reicht, um es sicher zu betreiben, dann lösche ichs – ist ja nicht so, dass mir derlei Admingefrickel auch nur ansatzweise Spaß machen würde …

        Antworten

Schreibe einen Kommentar zu Christian W. Antworten abbrechen