it-swarm.com.de

Kann Joomla mit Brute-Force angegriffen werden?

Nur aus Neugier: Könnte ein Hacker ein Skript schreiben, um die Anmeldung des Joomla-Administrators zu erzwingen, indem er zufällige Benutzernamen/Passwörter versucht, oder gibt es eine Beschränkung, wie oft ein Benutzer versuchen kann, sich anzumelden?

Ich habe Plugins im Joomla-Erweiterungsverzeichnis gesehen, das (neben anderen Funktionen) behauptet, Ihre Site vor Brute-Force-Angriffen zu schützen. Ist es notwendig, eine solche Erweiterung zu verwenden?

4
Bogowoe

Jede Anmeldeseite mit den Eingabefeldern 'userid "und" pass "kann brutal erzwungen werden, wenn kein anderer Schutz angewendet wird. Gleiches gilt für Joomla !.

Sie können das von Ihnen angegebene Plugin verwenden, um den Angriff abzuschwächen, und auch ein "strong "Passwort kann eine Brute Force relativ unbegrenzt verzögern (bis der Angreifer aufgibt).

Eine andere Möglichkeit wäre, dem Anmeldeformular nach einer bestimmten Nr. Ein Captcha hinzuzufügen. von fehlgeschlagenen Anmeldeversuchen (wie bei Google).

Sie können CDN auch verwenden, um eine weitere Sicherheitsstufe gegen Brute-Force-Angriffe hinzuzufügen, wie CloudeFlare diese kostenlos bereitstellt.

3

Da Sie keine Joomla-Version angegeben haben, gehe ich davon aus, dass Sie sich auf Joomla 3.3 beziehen.

Joomla 3.3 verwendet BCrypt, um Passwörter zu hashen, im Gegensatz zu Joomla 2.5, das md5 + salt.

Hier ist ein kleiner netter Ausschnitt, den ich von yorickpeterse.com gefunden habe:

Ich werde nicht alle technischen Details behandeln, aber im Grunde verlangt BCrypt, dass Sie einen Kosten-/Arbeitsfaktor angeben, um ein Passwort zu generieren. Dieser Arbeitsfaktor verlangsamt nicht nur den gesamten Prozess, sondern wird auch zum Generieren des End-Hashs verwendet. Das bedeutet, wenn jemand den Arbeitsfaktor ändern würde, wäre auch der Hash anders. Mit anderen Worten, Hacker, du bist beschissen. Damit ein Hacker das ursprüngliche Kennwort erhalten kann, muss er denselben Arbeitsfaktor verwenden und muss daher N-mal länger warten als ohne Verwendung eines Arbeitsfaktors.

Um Ihre ursprüngliche Frage zu beantworten, ist es daher wahrscheinlich möglich, Gewalt anzuwenden , es würde jedoch höchstwahrscheinlich Jahre dauern . Bcrypt gilt heute als eine der fortschrittlichsten Hashing-Techniken überhaupt.

Vielleicht möchten Sie sich auch Joomlas integrierte Zwei-Faktor-Authentifizierung ansehen, die eine zusätzliche Sicherheitsebene darstellt. Lesen Sie die folgenden Informationen:

http://www.Dart-creations.com/joomla/joomla-tutorials/enabling-and-using-joomla-two-factor-authentication.html

Es sind keine zusätzlichen Plugins von Drittanbietern erforderlich.

1
Lodder