Irgendwo hab ich dunkel in Erinnerung, dass es einen Passwortmanager gab/gibt, der auch bei falschem Passworten einen korrekten Login anzeigt und den Nutzer ins Programm lässt. Nur war es ein falscher Eingang bei dem plausible aber falsche Dienste, Nutzernamen und Passwörter angezeigt wurden. Ein Programm und auch ein böswilliger Akteur kann dann nicht mehr ohne Weiteres entscheiden, ob der Angriff nun erfolgreich war. Der korrekte Nutzer sieht es dagegen auf den ersten Blick. Habe leider den Namen vergessen.
Würde das eigentlich funktionieren? Das hört so dumm auf, aber nie habe ich darauf wirklich gedacht. 👀
Klassisches Beispiel von “Security by Obscurity”. Natürlich kannst du damit (auf Kosten deiner User) diverse malicious Logins verhindern und natürlich kannst du so im Zweifelsfall auch verhindern, dass Leute erfolgreich Daten aus Passwortleaks verwenden. Aber: Das funktioniert nur für die typischen “Drive-By-Hacker”. Wenn dein System halbwegs interessant für Leute ist oder der Angreifer wirklich Energie aufwendet ist, dann durchschaut er den Trick schnell
Du deutest es zwar an, aber noch mal explizit: Bei einem offline Angriff würde der Code nie laufen und somit auch gar nichts bringen.
Dabei wird direkt gegen die Hashes in einer Kopie der Nutzerdatenbank verglichen und nicht die normale Anmeldemaske verwendet.
Gegen Rohe-Gewalt-Angriffe würde das (quasi) nichts bringen, denn dabei probiert man ja gerade alle möglichen Passwörter durch. Die Chance, dass das was bringt entspricht also der Wahrscheinlich beim ersten Versuch das richtige Passwort zu erraten. Der Kommentar im Code ist also auf jeden Fall Quatsch.
Gegen das ausprobieren gestohlener Nutzerdaten könnte es evtl. einen kleinen Vorteil bieten, auf Kosten von vielen genervten legitimen Nutzern.
Warum sollte es gegen Brute Force nichts helfen? Immerhin muss man dann alle Passwörter 2x ausprobieren
Es wird ja nur der erste Loginversuch abgelehnt und nicht jeder zweite.
Die Idee ist glaub eher, dass der erste erfolgreiche Login versuch abgelehnt wird.
Ok, die Antwort ich wartete auf. Dankeschön
Es würde eine Menge Menschys mit Passwortmanagern stören… Also bitte nicht
Die manuell-eingebenden genauso.
