An sich ist im VMS ja schon eine Sicherung dagegen drin:
Auch wenn ich diese Option noch nie auf Ihre Tauglichkeit getestet habe, denke aber mal schon, dass es funzt.Max. Schnittstellenanfragen (Tag)
0 = Ohne Einschränkung
Nur für Anmeldungen
Da man pro Tag ja selten mehr als 50 Anmeldungen hat, bei denen der durchschnittliche KlammUser mind. 1 sein falsches PW eingibt, kann man den Wert ja auf 100 setzen.
Einziges Manko:
Wenn der Angreifer das direkt nach 0 Uhr macht, können sich den ganzen Tag auch keine "normalen" User mehr anmelden
(Außer man merkt es und stellt danach den Wert wieder höher usw.)
--
Man könnte aber
a) fehlgeschlagene Anmeldungen per IP in der Reload Tabelle des VMS speichern, und bei mehr als 3 Einträgen erstmal 30 Minuten keine Anmeldung mehr zulassen.
Dann müsste der Angreifer schon über massig Proxys oder ein Botnetzwerk verfügen, was wohl kaum der Fall ist.
b) Captcha verwenden, siehe:
reCaptcha bei Anmeldung zum Schutz von "EF Anfragen Attacken"
Zitieren