Ausbremsen von Brute-Force-Angriffen
Brute-Force-Angriffe lassen sich ausbremsen, in dem der Server zur erfolgreichen Anmeldung die Lösung einer zeitintensiven Knobelaufgabe durch den Client erforderlich macht.
Die Authentifizierung von zugangsbeschränkten Web-Applikationen lässt sich ohne Nebenwirkungen nur sehr schwer gegen Brute-Force-Angriffe schützen. Mit immer längeren Zeitverzögerungen oder dem Sperren des Kontos nach einer gewissen Zahl von ungültigen Logins versuchen sich die Betreiber solcher Angriffe zu erwehren -- leider auch manchmal zum Leid berechtigter Nutzer. Ein anderer Ansatz versucht Brute-Force-Angriffe auszubremsen, in dem der Server zur erfolgreichen Anmeldung die Lösung einer zeitintensiven Knobelaufgabe durch einen Client erforderlich macht. Das Dokument zeigt einige solcher Möglichkeiten und deren Implementierung auf.
Gunter Ollmann: Anti Brute Force Resource Metering (ju)
