Klassisches Beispiel von “Security by Obscurity”. Natürlich kannst du damit (auf Kosten deiner User) diverse malicious Logins verhindern und natürlich kannst du so im Zweifelsfall auch verhindern, dass Leute erfolgreich Daten aus Passwortleaks verwenden. Aber: Das funktioniert nur für die typischen “Drive-By-Hacker”. Wenn dein System halbwegs interessant für Leute ist oder der Angreifer wirklich Energie aufwendet ist, dann durchschaut er den Trick schnell
Gegen Rohe-Gewalt-Angriffe würde das (quasi) nichts bringen, denn dabei probiert man ja gerade alle möglichen Passwörter durch. Die Chance, dass das was bringt entspricht also der Wahrscheinlich beim ersten Versuch das richtige Passwort zu erraten. Der Kommentar im Code ist also auf jeden Fall Quatsch.
Gegen das ausprobieren gestohlener Nutzerdaten könnte es evtl. einen kleinen Vorteil bieten, auf Kosten von vielen genervten legitimen Nutzern.
Klassisches Beispiel von “Security by Obscurity”. Natürlich kannst du damit (auf Kosten deiner User) diverse malicious Logins verhindern und natürlich kannst du so im Zweifelsfall auch verhindern, dass Leute erfolgreich Daten aus Passwortleaks verwenden. Aber: Das funktioniert nur für die typischen “Drive-By-Hacker”. Wenn dein System halbwegs interessant für Leute ist oder der Angreifer wirklich Energie aufwendet ist, dann durchschaut er den Trick schnell
Du deutest es zwar an, aber noch mal explizit: Bei einem offline Angriff würde der Code nie laufen und somit auch gar nichts bringen.
Dabei wird direkt gegen die Hashes in einer Kopie der Nutzerdatenbank verglichen und nicht die normale Anmeldemaske verwendet.
Gegen Rohe-Gewalt-Angriffe würde das (quasi) nichts bringen, denn dabei probiert man ja gerade alle möglichen Passwörter durch. Die Chance, dass das was bringt entspricht also der Wahrscheinlich beim ersten Versuch das richtige Passwort zu erraten. Der Kommentar im Code ist also auf jeden Fall Quatsch.
Gegen das ausprobieren gestohlener Nutzerdaten könnte es evtl. einen kleinen Vorteil bieten, auf Kosten von vielen genervten legitimen Nutzern.
Warum sollte es gegen Brute Force nichts helfen? Immerhin muss man dann alle Passwörter 2x ausprobieren
Es wird ja nur der erste Loginversuch abgelehnt und nicht jeder zweite.
Die Idee ist glaub eher, dass der erste erfolgreiche Login versuch abgelehnt wird.
Ok, die Antwort ich wartete auf. Dankeschön