Daher kann ich nur dazu raten, möglichst zufällig erzeugte lange Kennwörter zu nutzen.
Zusammen mit Kennwort-Managern ist das kein Problem mehr.
An unserem System nutzen wir rate-limiting je IP und je Konto.
Ein Konto wird zeitweise gesperrt, wenn es zu viele Versuche je Zeiteinheit gab.
Der Nutzer wird in jedem Fall über fehlerhafte und erfolgreiche Logins informiert.
Bei besonsders auffälligen Versuchen gibt es zusätzlich eine Alarmierung der DevOps.
Ganz verhindern kann man derartige Angriffe naturbedingt nicht ganz, außer man setzt einen zweiten Faktor voraus. Daher: Bitte, bitte nutzt einen Kennwort-Manager, oder auch Passkeys.
Das Posting wurde vom Benutzer editiert (13.02.2024 17:19).