Re: Nervensägen in Dovecot

Winfried Neessen wn at neessen.net
Di Aug 6 11:24:47 CEST 2019 

On 6. Aug 2019, at 11:08, Uwe Drießen <driessen at fblan.de> wrote:

> Es macht aber schon einen Unterschied ob der Angreifer bestätigt bekommt das da ein auth
> system arbeitet oder eben auch nicht.
> 
Das ist ein Irrglaube. Die meisten Brute-Force Systeme warten nichtmal auf die Antwort des Servers
sondern pumpen einfach Requests rein. Fuer den Angreifer ist es viel zu viel Aufwand auf eine negative
Antwort zu warten. Der Angreifer will schnellen Erfolg mit moeglichst wenig Aufwand.

> Eine unsichtbare Tür ist weit aufwändiger zu finden als ein großes Burgtor.
> Und wenn ich nicht weiß das da eine Tür ist werde ich wohl das Brecheisen nicht unbedingt da ansetzen.
> 
Klassische "Security by Obscurity"-Taktik. Das ist genau wie den Versions-String vom Webserver auf 'ne
andere Versionsnummer zu setzen um zu suggerieren, dass der Angreifer garnicht versuchen braucht
einen Angriff zu starten.

> > In der Regel probieren die Scripte eh irgendwelche vorgefertigten Passwordlisten durch. Wenn Deine User
> > sinnvolle und starke Passwoerter benutzen, dann sollte Dir ein Brute-Force
> 
> Weiß ich das ?
> Es sollte so sein

Naja, Du kannst das. ja durchaus forcieren in dem Du sinvolle Passwordregeln vorgibst.

> Wechseln die es alle 3 Monate?

Voelliger Schwachsinn. Das ist eine Methode aus den 80ern die schon laengst als nicht sinnvoll widerlegt
wurde.

> z.T. kommen die Abfragen  auch mit nicht mehr existenten Adressen und irgendwann mal gültigen Passwörtern.

So what? Wenn die Adresse nicht mehr existiert, dann kann der Angreifer soviel versuchen sich einzuloggen wie
er moechte. Es wird nie funktioneren.

> Woher die Passwörter stammen und auf welchem weg die bekannt wurden ist heute nicht mehr nachvollziehbar.
> 
Aus irgendwelche Data-Breaches (LinkedIn, Adobe, Yahoo, etc.) oder von lokaler Malware auf dem Rechner des
eigentlichen Mailkonto-Inhabers.

> Die Frage ist nicht Ob eingebrochen wird sondern immer nur wie hoch ist der Aufwand und wann wird es passieren :-)
> 
Richtig. Aber die Aufwaende die Du da treibst machen es dem Angreifer nicht schwieriger, sondern nur Dir.

> keine Scriptkiddies (wären nur wenige IP Adressen)

Das ist Quatsch. Dank mietbaren Botnetzen kann jeder tausende IPs fuer 'n Appel und 'n Ei mieten.


-------------- nächster Teil --------------
Ein Dateianhang mit Binärdaten wurde abgetrennt...
Dateiname   : signature.asc
Dateityp    : application/pgp-signature
Dateigröße  : 833 bytes
Beschreibung: Message signed with OpenPGP
URL         : <https://listi.jpberlin.de/pipermail/postfixbuch-users/attachments/20190806/55e67983/attachment.asc>

Mehr Informationen über die Mailingliste Postfixbuch-users