Brute-Force-Angriffe bei Login mit Kundennummer

Ein Login zu einem Benutzerkonto ist (hoffentlich!) gegen Brute-Force-Angriffe geschützt, wobei es verschiedene Möglichkeiten gibt, auf zu häufige Loginversuche zu reagieren:

  • Eine einfache IP-Sperre, hilft nicht gegen Angreifer, die eine Proxy-Farm nutzen.
  • Sperre des Benutzerkontos für eine begrenzte Zeit, unabhängig von der IP-Adresse.
  • Ein Captcha muss gelöst werden.

Bei dem Check eines Kunden wurde nach drei Fehlversuchen der Hinweis eingeblendet, dass man doch bitte die Passworterinnerung nutzen möge und nach weiteren drei Fehlversuchen wurde dann das Benutzerkonto für eine Stunde gesperrt.

In der Regel wird der Schutz gegen Brute-Force-Angriffe nur in dem Moment aktiv, wenn viele Loginversuche auf
einen Benutzernamen mit mehreren Passworten
erfolgt. Die meisten Entwickler übersehen dabei aber den Brute-Force-Angriff auf
mehrere Benutzerkonten mit nur einem Passwort.

Leider ermöglicht der Kunde neben der E-Mail-Adresse auch die Nutzung der Kundennummer für das Login. Als Superhacker ;O), der mit geheimen Tricks arbeitet, habe ich Burp gesagt, dass als Kundennummer 100000 bis 120000 gewählt werden soll und nur 123456 als Passwort in Betracht kommt. Nach kurzer Zeit hatte Burp auch prompt für mehrere Benutzerkonten die Zugangsdaten gefunden.

Der implementierte Schutz gegen Brute-Force-Angriffe sperrt bei einem “normalen” Angriff nach insgesamt sechs Fehlversuchen das Benutzerkonto. Aber ein Angriff auf 20.000 verschiedene Benutzerkonten mit einem Passwort wird nicht erkannt.

Bei dem Kunden kommen verschiedene Probleme zusammen:

  • Das Login mit der Kundennummer ist möglich.
  • Die Vergabe einfacher Passworte ist möglich.
  • Es gibt keinen effektiver Schutz gegen Brute-Force-Angriffe.

Wäre das Login nur mit der E-Mail-Adresse möglich, so bräuchte ein Angreifer eine sehr große Liste von E-Mail-Adressen. Müssten sichere Passworte gewählt werden, wäre auch hier ein erfolgreicher Angriff deutlich schwerer. Und ein effektiver
Schutz gegen Brute-Force würde einem Angreifer sehr schnell den Spaß verderben.


Der gefährlichste Faktor in der IT-Sicherheit sind einfältige Programmierer. Mir soll’s Recht sein. So lange es DAMPs gibt, werde ich nicht arbeitslos. :O)