CWE ID: 645
Name: Overly Restrictive Account Lockout Mechanism
Das Produkt beinhaltet einen Account Lockout Protection Mechanismus, jedoch ist dieser Mechanismus zu restriktiv und kann zu leicht ausgelöst werden. Dies ermöglicht es Angreifern, durch das Sperren von Benutzerkonten einen Denial-of-Service für legitime Nutzer zu verursachen.
Account Lockout ist ein Sicherheitsmerkmal, das in Anwendungen häufig als Gegenmaßnahme gegen Brute-Force-Angriffe auf den passwortbasierten Authentifizierungsmechanismus eines Systems vorhanden ist. Nach einer bestimmten Anzahl fehlgeschlagener Login-Versuche kann ein Benutzerkonto für einen bestimmten Zeitraum deaktiviert oder erst durch einen Administrator entsperrt werden. Andere Sicherheitsereignisse können ebenfalls möglicherweise einen Account Lockout auslösen. Ein Angreifer kann jedoch genau dieses Sicherheitsmerkmal nutzen, um einen Denial-of-Service für legitime Systemnutzer zu verursachen. Es ist daher wichtig sicherzustellen, dass der Account Lockout Security Mechanismus nicht übermäßig restriktiv ist.
Effektivität: Unknown
Beschreibung: Implementieren Sie intelligentere Password Throttling Mechanismen, die neben dem Login-Namen auch die IP-Adresse berücksichtigen.
Effektivität: Unknown
Beschreibung: Implementieren Sie ein Lockout-Timeout, das mit zunehmender Anzahl fehlerhafter Login-Versuche ansteigt und schließlich zu einer vollständigen Sperrung führt.
Effektivität: Unknown
Beschreibung: Erwägen Sie Alternativen zur Kontosperrung, die dennoch effektiv gegen Passwort-Brute-Force-Angriffe wirken, wie beispielsweise die Präsentation einer Rechenaufgabe für die Benutzer-Maschine (wodurch diese eine gewisse Computation durchführen muss).
