kostenloser Webspace werbefrei: lima-city


Textfeld gegen automatisierte Eingabe schützen

lima-cityForumProgrammiersprachenProgrammieren mit .NET & Mono

  1. Autor dieses Themas

    yorecords

    Kostenloser Webspace von yorecords

    yorecords hat kostenlosen Webspace.

    Hallo!

    Mal eine rein theoretische Frage: Gibt es irgend eine Möglichkeit Textfelder und ähnliches gegen automatisierte Eingaben zu schützen?
    Ohne mich näher damit beschäftigt zu haben vermute ich mal dass sich z.b. über UIAutomation sehr leicht Ein Programm schreiben lässt, das automatisch Passwörter knackt. Solche Programme gibt es sowieso schon wie Sand am Meer (z.B. für WinRAR, ...). Zwar arbeiten die wahrscheinlich auf etwas komplexere Weise, aber es ist das gleiche Prinzip.
    Also gibt es da eine Möglichkeit der Vorbeugung?

    Danke im Voraus!
  2. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

  3. hackyourlife

    Moderator Kostenloser Webspace von hackyourlife

    hackyourlife hat kostenlosen Webspace.

    Wer dein Textfeld ausfüllt kannst du sowieso nicht wirklich bestimmen

    Wenn du ein Passwort knacken willst suchst du dir den Algorithmus aus dem Programm heraus und lässt nicht das Passwortfeld automatisch ausfüllen. Das Ausfüllen ist im Vergleich zum reinen Algorithmus immer um einiges langsamer, was beim Passwort knacken einen deutlichen Unterschied macht.
  4. Wie soll das Programm/Skript zuverlässig feststellen, ob die Eingabe per Hand oder automatisiert erfolgt?

    Wenn Du verhindern willst, daß jemand versucht, durch wiederholtes Ausprobieren das Passwort zu erraten, setze einen Zähler ein, der nach dreimaliger Falscheingabe weitere Versuche für eine Zeit sperrt, oder nutze eine Routiine, die nach jedem Fehlversuch die Zeit erhöht, die, vor einem erneuten Versuch, abgewartet werden muß.
    ten lassen.
    Damit bremst Du die Skriptkiddies aus, die eine Passwortliste, sei es manuell oder automatisiert, abarbeiten.




    Beitrag zuletzt geändert: 7.12.2012 22:09:24 von fatfreddy
  5. Autor dieses Themas

    yorecords

    Kostenloser Webspace von yorecords

    yorecords hat kostenlosen Webspace.

    hackyourlife schrieb:
    Wer dein Textfeld ausfüllt kannst du sowieso nicht wirklich bestimmen…


    fatfreddy schrieb:
    Wie soll das Programm/Skript zuverlässig feststellen, ob die Eingabe per Hand oder automatisiert erfolgt?


    Genau darum geht es ja. Ich kenne auch keinen Weg, aber denke, dass es da wohl irgend einen geben müsste.

    hackyourlife schrieb:
    Wenn du ein Passwort knacken willst suchst du dir den Algorithmus aus dem Programm heraus und lässt nicht das Passwortfeld automatisch ausfüllen. Das Ausfüllen ist im Vergleich zum reinen Algorithmus immer um einiges langsamer, was beim Passwort knacken einen deutlichen Unterschied macht.


    Aber wenn das Programm das geknackte Passwort dann nicht einfach anzeigt, muss es dann ja trotzdem auf das Textfeld zugreifen. Aber du hast schon Recht.. Im Endeffekt hätte diese Herangehensweise sowieso keinen Sinn.
    Aber jetzt hast du mich ein Stück weiter gebracht. Das heißt wenn sich solche Programme einfach den Algorithmus holen, ist das A und O wohl einen guten Obfuscator zu verwenden.

    fatfreddy schrieb:
    Wenn Du verhindern willst, daß jemand versucht, durch wiederholtes Ausprobieren das Passwort zu erraten, setze einen Zähler ein, der nach dreimaliger Falscheingabe weitere Versuche für eine Zeit sperrt, oder nutze eine Routiine, die nach jedem Fehlversuch die Zeit erhöht, die, vor einem erneuten Versuch, abgewartet werden muß.
    ten lassen.
    Damit bremst Du die Skriptkiddies aus, die eine Passwortliste, sei es manuell oder automatisiert, abarbeiten.


    Stimmt, daran hatte ich im Moment nicht einmal gedacht. Obwohl es so etwas sowieso bei fast jedem Programm gibt, das ein Passwort erfrordert.
    Also erübrigt sich das ja von Anfang an.

    Da wäre ich ja fast motiviert einen eigenen Obfuscator zu schreiben.. Es ist sowieso so schlimm, dass alle kostenlosen bis günstigen Obfuscatoren (? xD) zu nichts zu gebrauchen sind (der Beste in der Kategorie Freeware ist meiner Meinung nach ja Codefort, bei dem jedoch Kaspersky und VirusTotal.com sofort Alarm schlagen), und alle (vermutlich) brauchbaren für den nicht gewinnbringenden Einsatz kostenmäßig einfach nicht geeignet sind. Aber ob sich das mit C# überhaupt vernünftig machen lässt?! Ich werde es herausfinden.

    Jedenfalls danke für eure Antworten und die Inspiration!

    (Wenn jemand Lust hat beim Projekt Obfuscator mitzuwirken sagt per PM bescheid. Ich denke mal das wird [sollte es sich verwirklichen lassen] sicher ein größeres Projekt, und da ich im Moment sehr viel Arbeit habe dauert es sicher ewig)
  6. yorecords schrieb:
    Ich kenne auch keinen Weg, aber denke, dass es da wohl irgend einen geben müsste.

    Das ist sehr unwahrscheinlich und wohl eher Glaube, als Denken.


    yorecords schrieb:
    Aber jetzt hast du mich ein Stück weiter gebracht. Das heißt wenn sich solche Programme einfach den Algorithmus holen, ist das A und O wohl einen guten Obfuscator zu verwenden.

    Wer in der Lage ist, die nötigen Algorithmen im Programmcode zu erkennen, extrahieren und mit diesen auch noch was anfangen kann, wird über derartige Versuche der Verschleierung nur müde lächeln. Spar dir die Arbeit! Alle möglichen Verschleierungsmethoden sind zwangsläufig reversibel.

    Beitrag zuletzt geändert: 8.12.2012 21:53:26 von fatfreddy
  7. Autor dieses Themas

    yorecords

    Kostenloser Webspace von yorecords

    yorecords hat kostenlosen Webspace.

    fatfreddy schrieb:
    Wer in der Lage ist, die nötigen Algorithmen im Programmcode zu erkennen, extrahieren und mit diesen auch noch was anfangen kann, wird über derartige Versuche der Verschleierung nur müde lächeln. Spar dir die Arbeit! Alle möglichen Verschleierungsmethoden sind zwangsläufig reversibel.


    Da hast du schon Recht, nur geht es mir in diesem Fall eher um Programme die das automatisch machen. Ein Mensch kann immer auf unvorhergesehenes reagieren, ein Programm nicht.
  8. Man koennte evtl einbauen dass nicht zu schnell getippt werden darf.
  9. Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!

    lima-city: Gratis werbefreier Webspace für deine eigene Homepage

Dir gefällt dieses Thema?

Über lima-city

Login zum Webhosting ohne Werbung!