On Thu, 2 May 2024 08:26:24 +0200
Marcel Mueller <news.5.maazl@spamgourmet.org> wrote:

> Am 01.05.24 um 17:42 schrieb Wolfgang Schmidt:
> > Das wäre sehr einfach zu händeln, wenn das Schloß nach einigen
> > Fehlversuchen passende Pausen verlangen würde.
>
> Das ist technisch je nach Anwendungsfall unmöglich.
>
> Wenn man bereits im Besitz verschlüsselter Daten ohne Schüssel ist,
> führt der Aufdruck "Sie dürfen nur einen Schlüssel pro Sekunde
> probieren" eher zu einem Lachkrampf als zu einer Verlangsamung der
> Attacke. ;-)
>
> Und wenn es um die Sicherung öffentlich erreichbarer Accounts geht,
> dann wären in 5 Minuten alle existierenden Accounts gesperrt, weil
> irgendein Depp versucht es immer mal. Das wäre quasi ein sehr
> einfacher Angriffsverktor für eine DOS-Attacke.

Das Account-Nuking wird auch gemacht. Dafür gibt es dann
Break-Glas-Accounts, die sich nur von einer bestimmten IP-Range aus
anmelden dürfen, aber auch nach beliebig vielen Fehlversuchen nicht
gesperrt werden. Bei meinen Kundinnen richten wir 2FA ein wo wir können
und verzichten dann komplett auf Kontensperren.

> Der Trick ist ja, dass man über solch eine Zugangskennung nur eine
> Authentifizierung vornimmt, während der eigentliche Datenverkehr über
> einen ausgewürfelten Schlüssel erfolgt, der über ein asymmetrisches
> Verfahren mit ebenfalls ausgewürfelten, hinterlegten Schlüssel
> vereinbart wird.

Symmetrische Transportverschlüsselungen haben in der Regel auch eine
Sub-Session Schlüsselrotation mit echtem Zufall. Ab TLS 1.2 ist das
Handshaking ebenfalls Teil der verschlüsselten Kommunikation.

> Damit muss die Verschlüsselung für den Datenverkehr
> Brute Force stand halten, Aber den Schlüssel müssen sich nur die
> beteiligten Rechner merken, und das auch nur vorübergehend, dann gibt
> es einen neuen. Man muss sich also mit dem Knacken beeilen.

Vor allem muss man alle n Pakete den nächsten Schlüssel knacken.

Falk D.

--
Falk Dµebbert <falk@duebbert.com>