Meine eigentlichen Fragen:
a)
Warum programmiert man die Systeme nicht so, dass sie z.B. nur
alle 10 Sekunden einen neuen Login-Versuch aktzeptieren?
Schneller arbeitet ein Mensch doch eh nicht.
in vielen Fällen wäre das eine durchaus passable Möglichkeit.
Allerdings passt sie nicht immer. Bedenke dass es viele Zugangsknoten, z.B. im Firmenbereich, gibt, wo sich viele Leute zur mehr oder weniger selben Zeit anmelden wollen. Man müsste also diesen Timer zumindest auf bestimmte Quell-IP Aderssen abstellen, sich also intern merken von welchen IPs Fehlversuche kamen und nur diese bestrafen. Bei Punkt-zu-Punkt Einwählzugängen über Modems und Konsorten geht das schon mal deshalb daneben, weil der Client bei jeder Einwahl eine andere IP Adresse (aus einem Pool) bekommt.
Professionelle Angreifer können ihren Angriff auch über ein Botnetz machen, und der angegriffene Router müsste eine sehr umfangreiche Tabelle führen können. Die auf simpel und billig ausgelegten Consumer-Class Routerchen die sowas können würden also einige Euros teurer im Regal von Geiz-ist-geil landen wegen eines Features dass man nicht sofort sehen kann, und das wäre aus verkäufersicht ein Nachteil.
Weiters gehört es zum Wesen solcher Sicherheitsmechanimen das sie bei einem Fehlversuch keine Rückmeldung geben, dass nun eine Sperre aktiv ist, denn diese Info würde einem tatsächlichen Angreifer bereits wieder nützlich sein. Die kompromisslose Implementierung dieser Logik läuft so, dass man nah x Fehlversuchen eine stille Sperrzeit aktiviert, innerhalb derer auch das richtige Passwort keinen Zugang mehr gewährt. Das wiederum ist eine enorme Fehlerquelle wenn man sich tatsächlich vertippt. Anfänger würden daher permanent in diese Sperren laufen und bei den Herstellern Zeter und Mordio schreien (auch öffentlich über Foren und Bewertungen) dass die Anbieter fürchten müssen, dass ihr Produkt als irgendwie kompliziert in Verruf gerät, und das wegen eines Mechanismus, den kaum ein Anwender zu würdigen weiß, daher wird es nicht gemacht.
b)
Warum wird das System nach z.B. 1000 Versuchen nicht einfach
gesperrt, so dass es nur noch durch einen Reset am Gerät
wieder benutzt werden kann? Kein Mensch hätte soviel Geduld
1000 mal ein Passwort einzugeben. Daher wäre doch klar
erkennbar dass ein Brute-Force-Angriff vorliegt.
Du würdest allerdings die Grundlage für eine Denial-of-Service Attacke legen. Ein böswilliger Angreifer, der nur auf Sabotage aus ist, würde diesen Mechanismus bewusst auslösen um das Endgerät zu sperren. Das wiederum wäre bereits der erste und entscheidende Schritt zu einem wirklich ernstzunehmenden Einbruch, der über einen fingierten Besuch eines Servicetechnikers führen würde.
Denial-of-Service: sowas ist übrigens weder abwegig noch wird es nie gemacht: finde in einem Netzwerk die Liste der Konten aller Administratoren heraus (was in einem Windows Netz für einen angemeldeten (nicht-Admin) User eine Frage eines einzigen Kommandos ist, und provoziere dann mit jedem Konto ein paar Fehlanmeldungen. Wenn die Sicherheitsleute ihre Konten auf „automatisch zusperren“ konfiguriert haben, sperrt man so allen Admins ihre Zugänge. Selbst wenn die sich nach einer Weile selbst wieder aufsperren hat man ihnen doch eine erheblichen Tritt vors Schienbein verpasst.
Sicherheit hat eben zwei Seiten. Man kann sie ganz leicht gegen ihre Meister verwenden.
Alles in Allem dürfte die Antwort auf Deine Frage, warum das auf der Consumer-Ebene nicht gemacht wird, und auf der professionellen Ebene oft nicht aktiviert oder sogar abgeschaltet wird, in dieser Abwägung von Pest gegen Cholera und Kosten gegen Nutzen zu finden sein.
Armin.
