Erstellt vor 4 Jahren
Zuletzt geändert vor 3 Jahren
#1478 closed Fehler (fixed)
Wörterbuch-Attacken gegen Lx-Office erschweren / abwehren
| Erstellt von: | lxo@… | Verantwortlicher: | m.bunkus@… |
|---|---|---|---|
| Priorität: | normal | Meilenstein: | |
| Komponente: | kivitendo ERP | Version: | 2.6.2 unstable |
| Schweregrad: | Verbesserung | Stichworte: | Oberfläche |
| Beobachter: | m.bunkus@…, roman.karuschka@… |
Beschreibung
(Übrigens, eine Component-Kategorie "Sicherheit" gibt es im Bugtracker nicht.)
Es sollen Wörterbuch-Attacken gegen Lx-Office erschwert werden.
Vorschläge für Lösungen
1.) Gibt jemand ein korrektes Passwort ein, so geht es gleich weiter.
Gibt jemand (oder etwa Schadsoftware) ein falsches Passwort ein,
so wird der Login für weitere Versuche für einige Sekunden gesperrt/verzögert.
2.) Der Admin wird beim Anlegen von Benutzern gewarnt, wenn das vergebene
Passwort im Wörterbuch steht.
Der User wird beim Ändern seines Passwortes gewarnt, wenn das vergebene
Passwort im Wörterbuch steht.
Ich habe mir jetzt den Code nicht angesehen, aber 1.) müsste in Auth schnell um zu setzen sein.
Für 2.) ist mehr Aufwand nötig.
Hier http://search.cpan.org/search?query=password+dictionary&mode=all findet man bestimmt etwas Passendes.
Änderungshistorie (2)
comment:1 Geändert vor 4 Jahren durch m.bunkus@…
- Status von new nach assigned, m.bunkus@linet-services.de geändert
- Verantwortlicher von p.reetz@… nach m.bunkus@… geändert
comment:2 Geändert vor 3 Jahren durch roman.karuschka@…
- Lösung auf fixed gesetzt
- Status von assigned nach closed, roman.karuschka@ok-it-services.de geändert
Mit den Worten von Moritz, derzeit der eine Teil soweit implementiert, der Andere ist auf erstmal unbestimmbare Zeit verschoben und wird dann ggfs wieder aufgegriffen
Eine fünfsekündige Verzögerung ist nun implementiert.
Eine Passwortprüfung kommt evtl. wann anders; wenn dann vermutlich mittels Crypt::Cracklib, sofern dies installiert ist.