Brute-Force auf Webservice zum Knacken des eigenen Passworts legal?
-
Hallo,
ich habe mich an einem (für mich sehr wichtigen) Webdienst angemeldet. Leider habe ich nun das Passwort vergessen, weil mein Firefox es nicht abgespeichert hat. Eine "Passwort-Vergessen" Funktion ist leider nicht vorhanden bzw. sie funktioniert nicht.
Allerdings kenne ich noch den Anfang des Passworts und weiß, dass danach drei oder vier Ziffern folgen, eine selbstprogrammierte BruteForce-Attacke wäre also kein Problem.
Ist das jedoch legal?
Ich betone, dass es sich um mein Konto handelt, das ich knacken möchte. Nur verbrauche ich mit der BruteForce-Attacke natürlich Ressourcen des Webservers.
Möglich wären genau 10*10*10+10*10*10*10=11000 Kombinationen, was schätzungsweise in weniger als 5 Stunden zu schaffen wäre.Ich danke schon mal für Antworten.
MfG
BruteForce
-
Isn Witz oder?
Wie wärs mit einer Email an den Betreiber, dass er dir das PW zurücksetzt?
-
Würde ich fragen, wenn's ein Witz wäre?
Die E-Mail hab ich schon vor ein paar Tagen (am Montag letzter Woche losgeschickt), bis jetzt habe ich immer noch keine Antwort bekommen.
-
Mach's doch einfach. Gibt sogar noch einige Tricks (wenn man die Attacke selber programmiert), die man dabei anwenden kann, sodass man auf weniger als eine Sunde zum Knacken braucht...
-
Ich hab mich jetzt entschieden, die ganze Sache bleiben zu lassen, nur aus dem Grund, weil meine BruteForce-Attacke als DDoS-Angriff aufgefasst werden könnte.
Allerdings werde ich das ganze Szenario aus Interesse an meinem eigenen Server testen.Mfg
BruteForce
-
BruteForce schrieb:
Ich hab mich jetzt entschieden, die ganze Sache bleiben zu lassen, nur aus dem Grund, weil meine BruteForce-Attacke als DDoS-Angriff aufgefasst werden könnte.
Was hattest du vor? 500 threads laufen zu lassen?
-
Denkfehler
Es gibt wohl kaum noch kommerzielle E-Mail-Server für (kostenlose) Konten für private jedermann, die nicht spätestens nach dem 10. nicht-funktionierenden Login, das Konto der angegebenen E-Mail-Adresse sperren würden, bzw. die Möglichkeit ein Login-Request per Webbrowser (oder einem Programm was selbiges abschicken kann) zu schicken, anhand Cookies und/oder der IP-Adresse unterbinden (ignorieren und/oder eine Website mit Erläuterung aufrufen) würden.
-
anonymous
schrieb:Denkfehler
Es gibt wohl kaum noch kommerzielle E-Mail-Server für (kostenlose) Konten für private jedermann, die nicht spätestens nach dem 10. nicht-funktionierenden Login, das Konto der angegebenen E-Mail-Adresse sperren würden, bzw. die Möglichkeit ein Login-Request per Webbrowser (oder einem Programm was selbiges abschicken kann) zu schicken, anhand Cookies und/oder der IP-Adresse unterbinden (ignorieren und/oder eine Website mit Erläuterung aufrufen) würden.Ach, Herr Schlauschlau will mir was über BF-Attacken erzählen.
1. Hat der OP nix von e-mail bruteforcing gesagt (und wenn schon, dann)
2. Benutze ich sowieso schon eine Liste von anonymen Proxies für den JobWäre nicht der erste bruteforcer den ich geschrieben hab.
EDIT:
3. Cookies hole ich mir, benutze sie für den login-Versuch und dann verwerfe ich sie. Auch kein Problem.
-
EOP schrieb:
anonymous
schrieb:Denkfehler
Es gibt wohl kaum noch kommerzielle E-Mail-Server für (kostenlose) Konten für private jedermann, die nicht spätestens nach dem 10. nicht-funktionierenden Login, das Konto der angegebenen E-Mail-Adresse sperren würden, bzw. die Möglichkeit ein Login-Request per Webbrowser (oder einem Programm was selbiges abschicken kann) zu schicken, anhand Cookies und/oder der IP-Adresse unterbinden (ignorieren und/oder eine Website mit Erläuterung aufrufen) würden.Ach, Herr Schlauschlau will mir was über BF-Attacken erzählen.
1. Hat der OP nix von e-mail bruteforcing gesagt (und wenn schon, dann)
2. Benutze ich sowieso schon eine Liste von anonymen Proxies für den JobWäre nicht der erste bruteforcer den ich geschrieben hab.
EDIT:
3. Cookies hole ich mir, benutze sie für den login-Versuch und dann verwerfe ich sie. Auch kein Problem.Das geht vielleicht auf so Servern wie c++.de, aber bei wichtigen Sachen wie Onlinebanking wird der User gesperrt.
-
naja schrieb:
]Das geht vielleicht auf so Servern wie c++.de, aber bei wichtigen Sachen wie Onlinebanking wird der User gesperrt.
Also kann ich gezielt bestimmte Leute aussperren, wenn ich eine Attacke auf ihr Passwort fahre? Das eröffnet ja völlig neue Möglichkeiten. Von jemanden den du nicht magst brauchst du in Zukunft also nur Kontonummer, Bankleitzahl und dazu ein paar Zombies und er ist für immer vom Onlinebanking ausgeschlossen.
-
SeppJ schrieb:
naja schrieb:
]Das geht vielleicht auf so Servern wie c++.de, aber bei wichtigen Sachen wie Onlinebanking wird der User gesperrt.
Also kann ich gezielt bestimmte Leute aussperren, wenn ich eine Attacke auf ihr Passwort fahre? Das eröffnet ja völlig neue Möglichkeiten. Von jemanden den du nicht magst brauchst du in Zukunft also nur Kontonummer, Bankleitzahl und dazu ein paar Zombies und er ist für immer vom Onlinebanking ausgeschlossen.
Noch schlimmer:
Laut Naja brauchst du das ja gar nicht:
Attscke auf Username starten und ratzfatz ist der User gesperrt.LOL, dann wären ziemlich viele User weltweit verzweifelt/-ärgert und auf der anderen Seite ziemlich viele Anbieter nur noch mit Sperren/Reaktivieren beschäftigt.
Solche Attacken sind alltäglich (bin selber tech admin).
-
Man bin ich schlau. Welche die meinen sie wissen es besser als mich, sollten das lieber für sich behalten, nicht das sie sich noch blamieren ahahahahahahahaha
-
anonymous
schrieb:Man bin ich schlau. Welche die meinen sie wissen es besser als mich, sollten das lieber für sich behalten, nicht das sie sich noch blamieren ahahahahahahahaha
Dann beherzige das mal.
-
EOP schrieb:
SeppJ schrieb:
naja schrieb:
]Das geht vielleicht auf so Servern wie c++.de, aber bei wichtigen Sachen wie Onlinebanking wird der User gesperrt.
Also kann ich gezielt bestimmte Leute aussperren, wenn ich eine Attacke auf ihr Passwort fahre? Das eröffnet ja völlig neue Möglichkeiten. Von jemanden den du nicht magst brauchst du in Zukunft also nur Kontonummer, Bankleitzahl und dazu ein paar Zombies und er ist für immer vom Onlinebanking ausgeschlossen.
Noch schlimmer:
Laut Naja brauchst du das ja gar nicht:
Attscke auf Username starten und ratzfatz ist der User gesperrt.LOL, dann wären ziemlich viele User weltweit verzweifelt/-ärgert und auf der anderen Seite ziemlich viele Anbieter nur noch mit Sperren/Reaktivieren beschäftigt.
Solche Attacken sind alltäglich (bin selber tech admin).
Ihr seit ja wirklich total dämlich und kommt euch auch noch so schlau vor.
Von nem Admin kann man ja auch nicht soviel erwarten.
Lest mal ein bisschen was.
https://www.targobank.de/de/html/service/haeufige-fragen/online-banking.htmlNach dreimaliger Eingabe einer falschen T-PIN wird Ihr Online-Banking Zugang aus Sicherheitsgründen gesperrt. Eine neue T-PIN können Sie in der Filiale oder über ...
Zugangsdaten: Ich bin gesperrt. Was ist zu tun?
Die Zugangsdaten werden gesperrt, wenn bei Verwendung von PIN oder TAN diese dreimal hintereinander falsch eingegeben werden, der Online-Nutzer die Sperre bei seiner kontoführenden Filiale beantragt oder ...https://banking.postbank.de/app/rechtshinweis.init.do
2. Sperre des Zugangs zum Postbank Online-Banking
Gibt der Nutzer dreimal hintereinander die für die Anmeldung erforderlichen Zugangsdaten falsch ein, wird der Zugang zum Postbank Online-Banking gesperrt.
-
EOP schrieb:
anonymous
schrieb:Man bin ich schlau. Welche die meinen sie wissen es besser als mich, sollten das lieber für sich behalten, nicht das sie sich noch blamieren ahahahahahahahaha
Dann beherzige das mal.
Einverstanden, ich beherzige ausdrücklich das ich schlau bin.
Ist das gefährlich?(= Frage)
-
Jetzt weiß ich endlich wie es ich meiner ExFrau heimzahlen kann, daß sie bei unserer Trennung aus reiner Bosheit Hunderte meiner Programme gelöscht hat (samt Backups).
btw. Geldinstitute anzugreifen ist wohl grundsätzlich eine eher schlechte Idee.
Darum ging's im 1. post ja auch gar nicht, sondern nur um einen account irgendwo.
Vielleicht geht es einfach nur um eine Seite wie tinymidgetswithhugebreasts.com oder so.
-
EOP schrieb:
Jetzt weiß ich endlich wie es ich meiner ExFrau heimzahlen kann, daß sie bei unserer Trennung aus reiner Bosheit Hunderte meiner Programme gelöscht hat (samt Backups).
Ich würde niemals meine Daten so vernachlässigen dass es zu solchen Überlegungen, im Sinne von deswegen versuchen Rache auszuüben, kommen würde.
-
EOP schrieb:
Jetzt weiß ich endlich wie es ich meiner ExFrau heimzahlen kann, daß sie bei unserer Trennung aus reiner Bosheit Hunderte meiner Programme gelöscht hat (samt Backups).
Oh, ne Erfahrung fürs Leben*hehe*
Naja: Naja, da steht zwar, dass man gesperrt wird, aber wie das gemacht wird steht da auch nicht weiter.
-
anonymous
schrieb:EOP schrieb:
Jetzt weiß ich endlich wie es ich meiner ExFrau heimzahlen kann, daß sie bei unserer Trennung aus reiner Bosheit Hunderte meiner Programme gelöscht hat (samt Backups).
Ich würde niemals meine Daten so vernachlässigen dass es zu solchen Überlegungen, im Sinne von versuchen Rache auszuüben, kommen würde.
Da war ja auch mal sowas wie Liebe, was ja auch Vertrauen einschließt.
Aber wenn die Biestigkeit dann hervorkommt...
-
naja schrieb:
Ihr seit ja wirklich total dämlich und kommt euch auch noch so schlau vor.
Von nem Admin kann man ja auch nicht soviel erwarten.
Lest mal ein bisschen was.Du bestätigst es doch. Wenn ich es jemandem so richtig heimzahlen will, dann probiere ich einmal am Tag von einem fremden Rechner aus, mich mit seinem Namen/Kontonummer einzuloggen. Das Opfer darf dann jeden Tag zur Bankfiliale stiefeln. Und viel Spaß nach Öffnungszeit der Banken (Gefühlt von 12 bis Mittag) oder am Wochenende.
