Ein Brute-Force-Angriff probiert Passwoerter systematisch durch. Ohne Schutz ist es nur eine Frage der Zeit, bis er erfolgreich ist.

Schutzmechanismen¶

• Rate Limiting pro IP und pro Konto
• Progressive Verzoegerungen (Exponential Backoff)
• Kontosperrung nach N Versuchen
• CAPTCHA nach N Fehlversuchen
• MFA als letzte Verteidigung

Implementierung¶

Python – Progressive Delay¶

async def login(username, password): attempts = await get_failed_attempts(username) if attempts > 5: delay = min(2 ** (attempts - 5), 300) # Max 5 Min await asyncio.sleep(delay) if not verify_password(username, password): await increment_failed_attempts(username) raise AuthError(“Invalid credentials”) await reset_failed_attempts(username) return create_session(username)

Wichtigste Erkenntnis¶

Rate Limiting + Progressive Delays + CAPTCHA + MFA. Keine einzelne Verteidigungslinie.