Mozillas Persona ohne Schutz gegen Brute-Force-Angriffe

Einheitliches Web-Login: Mozilla veröffenlicht Beta von Persona” (heise.de)

Mozilla hat das Authentifizierungssystem Persona nun als erste Beta freigegeben. Das Authentifizierungssystem soll die Anmeldung im Web vereinfachen und ein einheitliches Login für alle Dienste bieten.

Ein Dienst der als zentrale Plattform für die Authentifizierung dienen soll, der muss ein Maximum an Sicherheit bieten und dazu gehört natürlich auch ein Schutz gegen Brute-Force-Angriffe. Als Ausrede kann hier “Beta” nicht gelten.


Es ist einfach registrierte E-Mail-Adressen zu prüfen, um Opfer zu finden. Ein false bzw. true zeigt an, ob ein Benutzer existiert oder nicht:

Bei größeren Mengen an getesteten E-Mail-Adressen sagt man Burp noch, dass nach true gefiltert werden soll:



Auch bei der Suche nach dem Passwort ist Burp behilflich. Hier kann einfach nach der Länge der Antwort gefiltert werden: