> Inwiefern erhoeht das die Sicherheit? Ein Passwort wird sowieso so gewaehlt, dass man es durch probieren nicht erraten kann.
Nicht zwangsläufig. Vor allem in Bereichen, in denen User ihr eigenes Passwort festlegen können sind die Passwörter oft so einfach gestrickt, daß man mit einem Dictionary Angriff gute Chancen hast.
Ich hab mal bei meinem Arbeitgeber die /etc/shadow auf einem Webserver auf so einfach Passwörter abgeklopft und oft genug waren Passwörter ala 12345 oder abc dabei.
Ja, das mit den unsicheren Passwörtern ist ein Problem, allerdings würde ich die Accounts nicht nach 3 Fehlerversuchen komplett sperren (sehr viel Aufwand für die Admins, sie wieder zu entsperren) und dos Attacken sind gut möglich, sondern stattdessen beim Passwortändern ein Passwortcheckprogramm laufen lassen, so dass die User gezwungen sind ein schwierigeres Passwort zu wählen. Außerdem hilft es noch viel, den Usern überhaupt klar zu machen, das ein Passwort sicher sein soll und wie es sicher ist.
Die automatische Deaktivierung von Accounts gleicht eher einer DoS-Attacke.
Nicht zwangsläufig.
Vor allem in Bereichen, in denen User ihr eigenes Passwort festlegen können sind die Passwörter oft so einfach gestrickt, daß man mit einem Dictionary Angriff gute Chancen hast.
Ich hab mal bei meinem Arbeitgeber die /etc/shadow auf einem Webserver auf so einfach Passwörter abgeklopft und oft genug waren Passwörter ala 12345 oder abc dabei.