Hilfe & AnleitungenKonto-Sicherheit › Brute-Force-Erkennung und Auto-Block

Brute-Force-Erkennung und Auto-Block

3 Min. Lesezeit · Konto-Sicherheit

Ein Angreifer kann in einer Minute viele Passwörter ausprobieren. Deshalb kombiniert ePulz.io zwei Schutzmechanismen: ein Limit für Anmeldeversuche, das weitere Versuche vorübergehend abweist, und eine Benachrichtigung für den Administrator, wenn von einer einzigen IP-Adresse verdächtig viele fehlgeschlagene Versuche kommen. Beide Schutzmechanismen sind für jedes Konto automatisch aktiviert, Sie müssen nichts einstellen.

Limit für Anmeldeversuche

Das Anmeldeformular ist durch zwei unabhängige Limits geschützt. Nach deren Überschreitung gibt der Server eine HTTP 429-Antwort zurück und weist weitere Versuche vorübergehend ab:

  • Nach IP-Adresse: höchstens 20 Anmeldeversuche pro 15 Minuten von einer einzigen IP. Nach Überschreitung werden weitere Versuche von dieser Adresse vorübergehend abgewiesen.
  • Nach Konto (E-Mail): höchstens 10 Versuche pro 30 Minuten für dieselbe E-Mail, auch wenn der Angriff von mehreren IP-Adressen kommt. Dieses Limit verhindert einen verteilten Angriff auf ein bestimmtes Konto.

Nach einer erfolgreichen Anmeldung wird der Zähler für diese E-Mail zurückgesetzt.

Benachrichtigung für den Administrator

Unabhängig von den Limits gilt: Wenn von einer einzigen IP-Adresse 10 oder mehr fehlgeschlagene Versuche innerhalb von 15 Minuten kommen, erhält der Administrator eine Benachrichtigung über Telegram (höchstens einmal pro Stunde für dieselbe IP wiederholt). Das dient dazu, einen gezielten Angriff frühzeitig zu erkennen.

Was der Benutzer bei Überschreitung des Limits sieht

Nach Überschreitung des Limits erscheint ein Hinweis, dass es zu viele Versuche gab und Sie eine bestimmte Anzahl Minuten warten müssen. Der Link "Passwort vergessen" bleibt verfügbar, sodass ein legitimer Benutzer immer einen Weg zurück zu seinem Konto hat - die Passwortwiederherstellung per E-Mail funktioniert auch während der vorübergehenden Einschränkung.

Anmeldeübersicht (Login-Audit)

Eine detaillierte Übersicht der Anmeldeversuche steht nur dem Administrator im Admin-Panel zur Verfügung (Admin -> Anmeldungen, /admin/login-audit). Sie zeigt höchstens 500 der neuesten Versuche, erfolgreiche und fehlgeschlagene. Bei jedem Eintrag sehen Sie:

  • Zeit, E-Mail, IP-Adresse mit Länderflagge und Informationen zum Browser,
  • Status (OK / FAIL) und Grund: ok, falsches Passwort (invalid_credentials), Limit überschritten (rate_limited, rate_limited_email), nicht verifizierte E-Mail (unverified),
  • einen separaten Abschnitt mit den Top-IP-Adressen, von denen die meisten fehlgeschlagenen Versuche kommen.

Durch Klick auf eine IP in der Liste filtern Sie alle Versuche von derselben Adresse heraus.

Was Sie für die Kontosicherheit tun können

Der Schutz läuft automatisch, Sie müssen ihn weder einstellen noch darauf reagieren. Für mehr Sicherheit empfehlen wir, die Zwei-Faktor-Authentifizierung (2FA) zu aktivieren und von Zeit zu Zeit die vertrauenswürdigen Geräte im Bereich Einstellungen -> Konto zu überprüfen.

Wenn Sie sich versehentlich ausgesperrt haben

  • Am einfachsten ist es, die angegebene Zeit abzuwarten - die Einschränkung löst sich nach Ablauf des Zeitfensters von selbst.
  • Wenn Sie sofort Zugriff benötigen, verwenden Sie Passwort vergessen. Die Passwortwiederherstellung per E-Mail funktioniert auch während der vorübergehenden Einschränkung.
  • Bei einem dauerhaften Problem kontaktieren Sie uns über den Support - nach Überprüfung der Identität helfen wir Ihnen.
War diese Anleitung hilfreich?
Nächstes →
GeoIP - Login- und Besucherländer