Loginversuche ≠ Brute Force-Attacke

Selbst eine große Zahl unerlaubter Login-Versuche bedeutet keinesfalls, dass es sich um eine Brute Force-Attacke handelt. White Fir Design betreibt Begriffsklärung und wirft Firmen, die mit dem Bereitstellen von Security-Lösungen Geld verdienen, unnötige Panikmache vor.

When it comes to improving the security of the WordPress ecosystem one of the biggest problems we see is the shear amount misleading and often times false information that is put out by security companies. One of the most frequent falsehoods […] is the claim that there are a lot of attempts to brute force WordPress admin password. […] A brute force attack does not refer to just any malicious login attempt, it involves trying to login by trying all possible passwords until the correct one is found, hence the „brute force“ portion of the name.

Und weil die Anzahl der Loginversuche selbst bei einem nur 6-stelligen Passwort, das aus Zahlen, Groß- und Kleinbuchstaben besteht, nahe den 56 Milliarden ist, sind zehn, zwanzig oder sogar 1000 Loginversuche noch weit davon entfernt, eine Brute Force-Attacke zu sein. Unter diesem Gesichtspunkt ließt sich das folgende Statement von Wordfence (eine der besagten Security-Firmen) gänzlich anders:

During this time we saw a total of 6,611,909 attacks targeting 72,532 individual websites. We saw attacks during this time from 8,941 unique IP addresses and the average number of attacks per victim website was 6.26.

Ja, da stimme ich White Fir zu. Wenn die durchschnittliche Anzahl von Attacken pro Site bei 6,26 liegt, dann kann man in der Tat nicht von einer Brute Force-Attacke sprechen. (Und ganz leise habe ich den Schwellenwert für die Aufnahme von IPs in die Brute Force-Liste von 100×10 auf 1000×25 erhöht.)