Neuigkeiten:

moziloCMS verwendet Cookies. Wenn Sie auf unserer Seite weitersurfen, stimmen Sie der Cookie-Nutzung zu Datenschutzerklärung
moziloCMS Layouts
moziloCMS Plugins

Hauptmenü

moziloAdmin Sicherheit

Begonnen von PePa, 29. Juni 2020, 07:47:11

« vorheriges - nächstes »

PePa

Mal ein paar Fragen zum Thema Sicherheit - Denn seit ein paar Tagen versucht jemand sich auf die Admin-Seite unerlaubt einzuloggen.
- Ist es irgendwie möglich eine 2-Faktor-Authentifizierung einzubauen?
- Ist es möglich ein Passwort länger als 20 Zeichen zu verwenden? Man kann zwar ein längeres angeben, aber beim Login werden max. 20 Zeichen angenommen.
- Warum muss bei der Passwortänderung im moziloAdmin zwingend ein "neuer Benutzername" angegeben werden, der bei Änderung dann sowieso verworfen wird?

Vielen Dank Euch !!!

Mighty

Ab Version 1.12 kann man das Verzeichnis "admin" umbenennen, um potentiellen Angreifern das Leben noch schwerer zu machen.
Azzet hat dazu mal ein Beitrag geschrieben.
Vielleicht hilft dir das ja schon ein wenig weiter.
https://www.mozilo.de/forum/index.php/topic,1018.msg6191.html#msg6191

Zitat von: PePa am 29. Juni 2020, 07:47:11
- Warum muss bei der Passwortänderung im moziloAdmin zwingend ein "neuer Benutzername" angegeben werden, der bei Änderung dann sowieso verworfen wird?

Also das kann ich nicht bestätigen, habe es gerade bei meiner Site getestet einen neuen Benutzernamen musste ich nicht angeben.
www.twinix.de // kostenlose Layouts / Templates für das moziloCMS

winfried

Ich bekomme seit einigen Monaten immer wieder mal eine Mail von mozilo, dass ein Account von mir vorübergehend gesperrt ist, weil zu oft ein falsches Passwort eingegeben wurde (ich hatte mich in diesen Zeiten nicht eingeloggt) - die in der Mail genannte Benutzerbezeichnung war auch immer falsch (am häufigsten "adminu") - wo die IP herkommt, kann ich allerdings nicht herausfinden. Ich hatte eine automatisierten Versuch des Eindringens vermutet.
viele Grüße
Winfried

laborix

Eine kleine Info zu einer Attacke und Wirkung:
Basis hierfür ist eine mögliche Erstellung von 170.424.973 Keys (mögliche Passwörter) pro Sekunde:

Nutzung von Groß- Kleinbuchstaben & Ziffern (62 verschiedene Zeichen)
- Passwort Länge 10 Zeichen - 12 Jahre Brute Force Attacke bis alle Möglichkeiten getestet sind

Nutzung von Groß- Kleinbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen)
- Passwort Länge 10 Zeichen - 861 Jahre Brute Force Attacke bis alle Möglichkeiten getestet sind

moziloCMS 2.0 blockiert nicht den Angriff, sperrt aber nach mindesten 10 Minuten den Login. Somit kann de Attacke ruhig laufen, da die in 10 Minuten Sperre laufenden Abfragen theoretisch das Passwort enthalten könnten und das der Angreifer nicht ermitteln kann.

Hinweis:
Es kann aber durchaus sein, das auch bei 10 Buchstaben innerhalb der Zeit bis zur ersten 10 Minuten Sperre das passende Passwort gefunden wird. Es gibt kein Allheilmittel dagegen ::)

bemerkenswelt

Zitat von: winfried am 09. September 2020, 21:10:41
Ich bekomme seit einigen Monaten immer wieder mal eine Mail von mozilo, dass ein Account von mir vorübergehend gesperrt ist, weil zu oft ein falsches Passwort eingegeben wurde (ich hatte mich in diesen Zeiten nicht eingeloggt) - die in der Mail genannte Benutzerbezeichnung war auch immer falsch (am häufigsten "adminu") - wo die IP herkommt, kann ich allerdings nicht herausfinden.
Vor rund einem halben Jahr hatte ich diese Angriffe auch häufig. Die IP Nummer war lt. Google Ergebnis auf einen Provider in St.Petersburg zurückzuführen.Mittlerweile benenne ich meinen admin Ordner einfach um und dadurch wird er quasi unsichtbar und nicht mehr gefunden. Seitdem haben die Angriffe aufgehört. Immer wenn ich an der Website etwas ändern will, benenne ich den Ordner wieder zurück in "admin", mache die Arbeiten und benenne ihn danach wieder um.
Schöne Grüße