Angriffe auf eigenen Homeserver

[keinnick]

Teilt man die 92^10 durch 255^4*10 kommt man auf knapp eine milliarde tage die das botnetz brauchen würde alle pws durchzuprobieren. Also absolut unknackbar mit den standardeinstellungen.

Du hast da glaube ich einen Denkfehler. Wenn ich einen FTP-Server kenne, auf den ich drauf möchte, dann scanne ich logischerweise nicht noch 4 Milliarden andere IP-Adressen, sondern konzentriere mich auf diesen einen Server. Mit einem Botnetz von ausreichender Größe kann ich mich dann trotz einer Sicherung à la "Wenn du nach 10 versuchen sperrst ist das sicher" genügend Versuche durchführen. Idealerweise nutzt man dann auch nicht stumpfsinnige Bruteforce-Attacken sondern kombiniert diese mit Wörterbüchern, da die meisten Menschen leider dazu neigen, so "starke" Passwörter wie "Vorname[Geburtsjahr]" oder den Namen ihres Haustiers zu vergeben.

 

[Icephoen1x]

Du hast da glaube ich einen Denkfehler. Wenn ich einen FTP-Server kenne, auf den ich drauf möchte, dann scanne ich logischerweise nicht noch 4 Milliarden andere IP-Adressen, sondern konzentriere mich auf diesen einen Server. Mit einem Botnetz von ausreichender Größe kann ich mich dann trotz einer Sicherung à la "Wenn du nach 10 versuchen sperrst ist das sicher" genügend Versuche durchführen. Idealerweise nutzt man dann auch nicht stumpfsinnige Bruteforce-Attacken sondern kombiniert diese mit Wörterbüchern, da die meisten Menschen leider dazu neigen, so "starke" Passwörter wie "Vorname[Geburtsjahr]" oder den Namen ihres Haustiers zu vergeben.

Du hast da einen denkfehler. Eine ip des botnetzes kann 10 pws pro tag probieren. Wenn das botnetz 256^4 rechner gros sein würde (alle ips die es gibt vom botnetz infiziert) könnte es pro tag maximal 254^4*10 passwörter probieren. Sind aber 92^10 passwörter möglich, so dauert es eine milliarde tage alle zu testen.
Deswegen lohnen wie du sagst nur dictionary attacken mit wahrscheinlichen pws. Ein größeres problem sind da hashing algorithmen wie sha-256, dort kann ein einzelner pc hunderte millionen an passwörtern pro sekunde durchprobieren. Dagegen sind 10 pro tag halt sehr langsam.