moziloAdmin Sicherheit

  • 4 Antworten
  • 532 Aufrufe
*

Offline PePa

  • Mitglied
  • 7
moziloAdmin Sicherheit
« am: 29. Juni 2020, 07:47:11 »
Mal ein paar Fragen zum Thema Sicherheit - Denn seit ein paar Tagen versucht jemand sich auf die Admin-Seite unerlaubt einzuloggen.
- Ist es irgendwie möglich eine 2-Faktor-Authentifizierung einzubauen?
- Ist es möglich ein Passwort länger als 20 Zeichen zu verwenden? Man kann zwar ein längeres angeben, aber beim Login werden max. 20 Zeichen angenommen.
- Warum muss bei der Passwortänderung im moziloAdmin zwingend ein "neuer Benutzername" angegeben werden, der bei Änderung dann sowieso verworfen wird?

Vielen Dank Euch !!!

*

Offline Mighty

  • Mitglied
  • 43
Re: moziloAdmin Sicherheit
« Antwort #1 am: 29. Juni 2020, 08:29:55 »
Ab Version 1.12 kann man das Verzeichnis "admin" umbenennen, um potentiellen Angreifern das Leben noch schwerer zu machen.
Azzet hat dazu mal ein Beitrag geschrieben.
Vielleicht hilft dir das ja schon ein wenig weiter.
https://www.mozilo.de/forum/index.php/topic,1018.msg6191.html#msg6191

- Warum muss bei der Passwortänderung im moziloAdmin zwingend ein "neuer Benutzername" angegeben werden, der bei Änderung dann sowieso verworfen wird?

Also das kann ich nicht bestätigen, habe es gerade bei meiner Site getestet einen neuen Benutzernamen musste ich nicht angeben.
www.twinix.de // kostenlose Layouts / Templates für das moziloCMS

*

Offline winfried

  • Mitglied
  • 28
Re: moziloAdmin Sicherheit
« Antwort #2 am: 09. September 2020, 21:10:41 »
Ich bekomme seit einigen Monaten immer wieder mal eine Mail von mozilo, dass ein Account von mir vorübergehend gesperrt ist, weil zu oft ein falsches Passwort eingegeben wurde (ich hatte mich in diesen Zeiten nicht eingeloggt) - die in der Mail genannte Benutzerbezeichnung war auch immer falsch (am häufigsten "adminu") - wo die IP herkommt, kann ich allerdings nicht herausfinden. Ich hatte eine automatisierten Versuch des Eindringens vermutet.
viele Grüße
Winfried

*

Offline laborix

  • Betatester
  • Mitglied
  • 364
Re: moziloAdmin Sicherheit
« Antwort #3 am: 10. September 2020, 18:00:50 »
Eine kleine Info zu einer Attacke und Wirkung:
Basis hierfür ist eine mögliche Erstellung von 170.424.973 Keys (mögliche Passwörter) pro Sekunde:

Nutzung von Groß- Kleinbuchstaben & Ziffern (62 verschiedene Zeichen)
- Passwort Länge 10 Zeichen - 12 Jahre Brute Force Attacke bis alle Möglichkeiten getestet sind

Nutzung von Groß- Kleinbuchstaben, Ziffern & Sonderzeichen (95 mögliche Zeichen)
- Passwort Länge 10 Zeichen - 861 Jahre Brute Force Attacke bis alle Möglichkeiten getestet sind

moziloCMS 2.0 blockiert nicht den Angriff, sperrt aber nach mindesten 10 Minuten den Login. Somit kann de Attacke ruhig laufen, da die in 10 Minuten Sperre laufenden Abfragen theoretisch das Passwort enthalten könnten und das der Angreifer nicht ermitteln kann.
 
Hinweis:
Es kann aber durchaus sein, das auch bei 10 Buchstaben innerhalb der Zeit bis zur ersten 10 Minuten Sperre das passende Passwort gefunden wird. Es gibt kein Allheilmittel dagegen ::)

*

Offline bemerkenswelt

  • Mitglied
  • 184
Re: moziloAdmin Sicherheit
« Antwort #4 am: 11. September 2020, 22:34:42 »
Ich bekomme seit einigen Monaten immer wieder mal eine Mail von mozilo, dass ein Account von mir vorübergehend gesperrt ist, weil zu oft ein falsches Passwort eingegeben wurde (ich hatte mich in diesen Zeiten nicht eingeloggt) - die in der Mail genannte Benutzerbezeichnung war auch immer falsch (am häufigsten "adminu") - wo die IP herkommt, kann ich allerdings nicht herausfinden.
Vor rund einem halben Jahr hatte ich diese Angriffe auch häufig. Die IP Nummer war lt. Google Ergebnis auf einen Provider in St.Petersburg zurückzuführen.Mittlerweile benenne ich meinen admin Ordner einfach um und dadurch wird er quasi unsichtbar und nicht mehr gefunden. Seitdem haben die Angriffe aufgehört. Immer wenn ich an der Website etwas ändern will, benenne ich den Ordner wieder zurück in "admin", mache die Arbeiten und benenne ihn danach wieder um.
Schöne Grüße
Schöne Grüße
Manfred

Besucht mich auf: www.bemerkenswelt.de