Unzulässige Login-Versuche erkennen
Wie sichert man den Login-Prozess sinnvoll ab? Wie geht man mit fehlerhaften Anmeldedaten um? Es macht Sinn, beim Login auch die IP-Adresse zu betrachten.
Ein öffentlich verfügbares Login-Formular stellt eine unvermeidbare Angriffsfläche dar. Durch automatisches Absenden des Formulars können pro Minute hunderte Passwörter ausprobiert werden.
Kontosperrung bei Fehlversuchen
Unautorisierte Anmeldeversuche können beispielsweise dadurch blockiert werden, indem bei einer hohen Anzahl von Anmeldeversuchen, die von einer bestimmten IP-Adresse aus gestellt werden, diese IP-Adresse eine Zeit lang gesperrt wird. Eine einfache IP-basierte Sperre können Angreifer mit geringem Aufwand umgehen, indem sie für ihre Login-Versuche auf andere IP-Adressen ausweichen.
Zielführender erscheint es daher auf den ersten Blick, die fehlgeschlagenen Anmeldeversuche pro Benutzerkonto zu zählen und bei Erreichen einer Schwelle, dieses Benutzerkonto temporär zu sperren. In diesem Fall kann sich aber auch die Person, der das Benutzerkonto gehört, nicht mehr anmelden. Solche einfachen kontobezogenen Sperren sind daher nicht sinnvoll.
Empfehlenswert ist stattdessen die Kombination beider Ansätze. Man speichert für jedes Konto die fehlgeschlagenen Login-Versuche zusammen mit der jeweils verwendeten IP-Adresse. Wird ein Schwellwert erreicht, werden nur die verursachen IP-Adressen gesperrt. Die zur Anmeldung berechtigte Person kann sich dann weiterhin anmelden.
Fazit: Fehlgeschlagene Login-Versuche sollten zusammen mit den sie verursachenden IP-Adressen protokolliert werden. Wird eine vorgegebene Schwelle überschritten, sollte eine temporäre Kontosperrung nur diejenigen IP-Adressen betreffen, deren Fehlversuche die Schwelle überschritten haben.
Herkunft von Login-Versuchen
Es gibt Situationen, in denen Angreifer das korrekte Passwort für ein Benutzerkonto bereits kennen. Sie können sich dann auf Anhieb anmelden, ohne die im vorigen Abschnitt genannte Schwelle von Fehlversuchen zu überschreiten.
Diesem Angriffsszenario kann man begegnen, indem man den ungefähren geographischen Standort ermittelt, von dem aus Logins durchgeführt werden. Um den Standort zu ermitteln, nutzt man die beim Login verwendete IP-Adresse.
Eine kostenlose Möglichkeit zur Lokalisierung bietet die GeoLite2-Datenbank von MaxMind. Damit lässt sich zumindest das Land, aus dem eine Anfrage stammt bestimmen.
Bei einem Login erhebt man den Standort und gleicht ihn mit den bisher gesehenen Standorten ab. Bei Abweichungen den Zugang zu verweigern, ist nicht sinnvoll. Stattdessen empfiehlt es sich, einen Hinweis an die im Benutzerkonto hinterlegte E-Mail-Adresse zu senden und der Inhaberin oder dem Inhaber des Kontos dort zu erklären, wie bei einem Missbrauchsverdacht vorzugehen ist.
Diese Benachrichtigung muss sorgfältig formuliert sein, um zu vermeiden, dass sie als Phishing-Mail wahrgenommen wird. Zu erwägen ist auch, Nutzerinnen und Nutzern die Möglichkeit einzuräumen, selbst zu entscheiden, unter welchen Umständen bzw. bei welchen Abweichungen sie eine Benachrichtigung erhalten wollen. Dadurch lassen sich Fehlalarme reduzieren.
Fazit: Es empfiehlt sich, die Herkunft von Login-Versuchen anhand der IP-Adresse zu erfassen und die Inhaberinnen und Inhaber von Konten bei Abweichungen zu informieren.