Missbrauch von Passwort zurücksetzen

Dan_Dennedy · 7. Mai 2020 um 00:51

Ich habe einen Benutzer, der von einer Person oder einem Skript angegriffen wird, das mehrmals täglich über seine E-Mail-Adresse den Endpunkt „Passwort vergessen

JimPas · 7. Mai 2020 um 02:07

Hallo Dan, wenn es dir nichts ausmacht, habe ich zunächst ein paar Fragen.

Hast du den Benutzer gesperrt?
Erlaubst du jedermann die Erstellung eines Kontos, oder genehmigst du alle neuen Konten?

Du kannst den Benutzer sperren, indem du zu admin/users/list/active gehst und auf den Namen des betreffenden Benutzers klickst. Sobald du auf seiner/seiner Informationsseite bist, scrolle nach unten zu Berechtigungen und klicke auf Sperren. Stelle sicher, dass der Benutzer abgemeldet ist, da die Sperrung möglicherweise erst nach dem Abmelden wirksam wird. Wenn er/sie noch angemeldet ist, befindet sich oben rechts auf derselben Seite ein blauer Kasten, über den du ihn/sie selbst abmelden kannst. Sobald er/sie abgemeldet ist, kann er/sie sich nicht mehr mit den alten Anmeldedaten anmelden.

Wenn du neue Konten genehmigst – und der „Täter

pfaffman · 7. Mai 2020 um 02:15

Indem sie die Seite „Passwort vergessen“ aufruft und ihre E-Mail-Adresse eingibt. Jeder kann dies für jeden Benutzer tun.

codinghorror · 7. Mai 2020 um 03:12

Wie oft genau pro Tag?

Dan_Dennedy · 7. Mai 2020 um 03:57

OK, „viele

codinghorror · 7. Mai 2020 um 04:10

Es ist definitiv ärgerlich, wenn jemand entscheidet, im Namen eines anderen immer wieder auf „Passwort vergessen

Chinaski · 7. Mai 2020 um 05:31

Ich bin es, der mit gefälschten Anfragen bombardiert wird.
Das passiert mehrmals pro Stunde.

Es gibt keine Option, keine E-Mail für ein Passwort-Reset zu erhalten, obwohl ich 2FA mit Reset-Schlüsseln aktiviert habe.

Einige Websites, die ich besucht habe, zeigen deine IP-Adresse an, bevor du überhaupt ein Passwort-Reset anforderst, und geben an, dass diese an deine E-Mail gesendet wird.

All das ist eine sehr kleine Unannehmlichkeit, da ich diese E-Mail selten für irgendetwas überprüfe. Alle E-Mails werden gefiltert und auf „Nachricht als gelesen markieren

Chinaski · 7. Mai 2020 um 05:33

Das Bild, das ich in der ersten Antwort nicht einfügen konnte.
Wenn Gmail mehr als eine Nachricht mit demselben Betreff erhält, fasst sie zusammen.
Ich vermute, dass sie nach 100 gleichen Nachrichten einfach zu den nächsten 100 Nachrichten übergehen.

codinghorror · 7. Mai 2020 um 05:43

Gute Informationen. Lass uns morgen Fortschritte dabei machen, @riking.

sam · 7. Mai 2020 um 06:39

Ein einfacher Workaround besteht darin, deine E-Mail-Adresse von test@gmail.com in test+SOMESECRETONLYYOUKNOW@gmail.com zu ändern.

Die E-Mails von Discourse werden weiterhin an dein normales Gmail-Konto geleitet, aber niemand kann dir Passwörter zurücksetzen lassen, und niemand kann einen sicheren Hash erraten.

Ich denke, praktisch gesehen ist dies in diesem Fall die beste Lösung.

Wir könnten die Rate-Limiting-Grenze sogar auf einmal pro Woche senken, und es wäre dennoch lästig. Durch die Verwendung von +-Adressierung löst du dein Problem vollständig.

riking · 7. Mai 2020 um 06:58

Wir können die Anfragen für einen bestimmten Benutzer zusätzlich zu Anfragen von einem bestimmten Ort (eine Grenze, die derzeit recht gut funktioniert) drosseln. Vielleicht sollten wir Personen bis zu 2 nicht abgelaufene Zurücksetzungs-Token gewähren, bevor wir sagen: „Bitte warten Sie einfach auf die E-Mail“?

itsbhanusharma · 7. Mai 2020 um 07:14

Eine andere Möglichkeit besteht darin, die E-Mails zum Zurücksetzen des Passworts zeitlich zu begrenzen, z. B. auf 3 Stunden zwischen den Tokens. Falls eine Anfrage zum Zurücksetzen des Passworts vor Ablauf der Abkühlzeit gestellt wird, kann eine einfache Meldung angezeigt werden: „Wir haben bereits eine E-Mail zum Zurücksetzen des Passworts gesendet. Bitte überprüfen Sie Ihren Posteingang. Wenn die E-Mail nicht innerhalb der nächsten 2 Stunden eintrifft, wenden Sie sich an den Site-Administrator unter %contact_email% für weitere Hilfe.“

Chinaski · 7. Mai 2020 um 09:28

Ich habe die E-Mail-Adresse im Forum auf ‘email+something@gmail.com’ geändert und habe es im Inkognito-Modus in einem anderen Browser getestet. Es hat trotzdem funktioniert. Vielleicht liegt das daran, dass die Anfrage immer nur mit dem Benutzernamen gestellt wird und nie mit der tatsächlichen E-Mail-Adresse.

Momentan sind alle gefälschten Anfragen gestoppt, da Dan das Problem entweder privat mit dem einzelnen Nutzer geklärt oder auf andere Weise behoben hat.

Wenn es eine Option für eine Sicherheitsfrage gäbe (die auf Benutzerebene aktiviert werden könnte), wäre ich mir sicher, dass dies die Anzahl der Anfragen erheblich reduzieren würde, da der Troll einfach nicht die richtige Antwort kennen würde. „Was ist dein Lieblingsfilm?

sam · 7. Mai 2020 um 10:35

Ich vermute, das Problem ist, dass man einfach ein Forum nach Benutzernamen durchsuchen und dann eine „Passwort vergessen“-Flut auslösen kann.

Vielleicht fügen wir einen Modus hinzu, bei dem man die E-Mail-Adresse exakt eingeben muss, um „Passwort vergessen“ zu nutzen – „Passwort vergessen (streng)“, standardmäßig deaktiviert?

Ich finde, selbst wenn wir nur einmal pro Woche getrollt werden, ist das schon zu viel. Wir können uns hier nicht einfach durch Rate-Limiting retten.

papyrophilia · 7. Mai 2020 um 11:44

Gibt es eine Möglichkeit, ein oder zwei kostenlose Zurücksetzungen zuerst anzubieten, bevor die exakte Eingabe erzwungen wird, innerhalb eines bestimmten Zeitraums? Oder vielleicht die exakte Eingabe erst nach einer bestimmten Anzahl von Zurücksetzungen für ein einzelnes Konto zu aktivieren, aber automatisch global?

Einige von uns wissen buchstäblich nicht einmal, welcher Tag heute ist, geschweige denn, sich ohne Fehler unsere genaue E-Mail-Adresse leicht zu merken.

@Chinaski, ich hoffe, das wird für dich schnell und endlich gelöst.

Dan_Dennedy · 8. Mai 2020 um 01:06

Vielen Dank an alle für die Antworten. Ich hoffe, dass das oben Genannte funktioniert, da es derzeit die direkteste Lösung zu sein scheint. Ich habe es jedoch nicht getestet, seit die Belästigung nachgelassen hat. (Der potenzielle Angreifer gibt an, dass er Gäste auf seinem WLAN ausgeschaltet hat, aber wir können nicht sicher sein, ob dies die Quelle war.)

TheDarkWizard · 8. Mai 2020 um 01:17

Bei Tausenden aktiver Nutzer (wir sind noch dabei, auf Discourse zu migrieren) kann ich deinen Schmerz gut nachvollziehen. Das kommt ständig vor – Leute vergessen, welche E-Mail-Adresse sie verwendet haben, und so weiter. Das ist seit Jahren eine unserer häufigsten Supportanfragen, das ist einfach verrückt.

sam · 8. Mai 2020 um 02:36

Die Anforderung einer E-Mail-Eingabe bei ‘Passwort vergessen’ wird sicherlich niemals eine Standardoption dieser Art sein.

Aber wenn ein Forum belagert wird, wie im Fall des OP, könnte dies ein einfacher Schalter sein, den Sie für ein paar Wochen aktivieren, um diesen lästigen Hack zu stoppen.

sam · 8. Mai 2020 um 03:38

Per

Ich habe die Regeln verschärft, sodass ein Benutzer im schlimmsten Fall nur noch 6 Zurücksetzungen pro Tag durchführen kann. Das sollte die Anzahl der E-Mails in gewissem Maße begrenzen.

Außerdem habe ich mich an den Rat von @riking gehalten und wir respektieren nun blockierte E-Mail-Adressen. Wenn du also als Admin eine IP-Adresse blockierst, kann diese IP nicht weiter an diesem „Spiel

Chinaski · 8. Mai 2020 um 16:38

Ich habe 100 gefälschte Anfragen durchgesehen und ein Muster festgestellt, das auf die Verwendung eines Skripts hindeutet. Dieses Muster ist in einer Gruppe von 100 gefälschten Anfragen in Gmail konsistent.

Thema		Antworten	Aufrufe
Password reset email should send IP info Feature	46	3029	18. Februar 2021
Different password reset for wrong username/email Feature	65	28075	4. August 2023
Pwned Passwords Validator Plugin	37	4729	14. Oktober 2019
Email enumeration vulnerability on "Password Reset" dialogue UX	19	4097	19. Dezember 2024
My site is being flooded with password reset requests Support	7	183	29. Januar 2025

Missbrauch von Passwort zurücksetzen

Verwandte Themen