MRMCD 2019

Über Bruteforce Protection und warum das gar nicht so leicht ist
2019-09-14, 22:00–22:30, Park Lane

Bruteforce Angriffe - also Angriffe durch Ausprobieren aller möglicher Passwörter - sind so alt wie Passwörter selbst. Seit Systeme über das Internet erreichbar wurden, haben diese Angriffe an Relevanz gewonnen. Doch obwohl die Idee des Angriffs simpel und altbekannt ist, gibt es in der Praxis kaum Verfahren zur Abwehr dieser Angriffe, die nicht neue Probleme mit sich bringen. In meinem Vortrag möchte ich die gängigen Verfahren beleuchten, aufzeigen welche Probleme sie mit sich bringen und schließlich auch eine Lösung vorstellen, die es besser macht.


Im Vortrag zeige ich verschiedene Ansätze wie Bruteforce Protection in der Praxis gehandhabt wird, und dass sie fast alle ein zentrales Problem ignorieren - sie ermöglichen einen Denial of Service Angriff. Schließlich stelle ich das Verfahren der Bruteforce Protection via Device Cookies vom Open Web Application Security Project (OWASP) vor, das bisher der einzige praktikable Ansatz zu sein scheint. Abschließend gibt es noch ein Ausblick über Zwei-Faktor-Authentifizierung zu WebAuthn um zu zeigen, dass es auch andere Lösungsansätze gibt die sich mit der Problematik von Passwörtern allgemein befassen und eine Zusammenfassung mit Hinweisen für Anwendungsentwickler*innen und Nutzer*innen.