Hallo,
also die meisten Systeme auf PHP Basis haben keinen eingebauten Schutz, da es per HTTP doch recht schwer zu realisieren ist.
Denn nur 5 fehl Logins:
Wenn ich dich ärgern will, tipp ich in die Eingabe Maske deinen Username ein und sende dann 5 mal auf Absenden. Jedes mal wird ein falsches PW registiert, und nach dem 5. mal kannst du dich nicht mehr einloggen, was ja schon störend ist.
Ergo entfällt diese Methode.
Das mit der Zeitschleife funktioniert auch nicht so richtig, da ich ja über mehrere Verbindungen die Logindaten an den Server senden kann und wenn die Antwort ob das PW richtig oder falsch war, erst nach 1 Sekunde kommt, ist dann auch egal, wenn ich 100 Verbindungen parallel laufen habe.
Und eine Überprüfung ob die Ip Adresse innerhalb der letzten Sekunde mehr als 5 Login-Versuche unternommen hat, ist doch etwas auffwendiger zu schreiben, in Sicht des Anwendungsentwicklers.
Bei anderen Anwendungen, wo man nur 1 (oder 5) Verbindung pro IP erlaubt, hat man bessere Möglichkeiten, Brute Force durch die Zeitschleife zu unterbinden. Ob Server-Anwendungsentwickler dies aber integrieren ist fraglich.
Denn per Remote erhälst du eh keine so großen Datendurchsätze, um auf eine wirklich große Anzahl an Versuchen/Sek zu kommen.
Gehen wir mal von einen Transfer von 400 Byte pro Login, was sehr wenig ist, da ja die ganzen Header etc. auch noch Platz verbrauchen, und man hat sagen wir mal einen Upstream von 1024 Kbit = 128 KB, so kommt man gerade mal auf 320 Versuche/Sek.
Dazu kommen noch Latenzzeiten, welches die gesamte Kommunikation verlangsamt
Eine Wordlist kann man damit noch durchgehen, bei BruteForce im Rahmen a-z und der Länge 8 würde das schon durchschnittlich über 10 Jahre dauern.
Außerdem fällt solch ein hoher Transfer von einer IP Adresse doch sehr auf und wenn man eine Firewall oder ein IDS hat, wird diese bestimmt Alarm schlagen und/oder die IP Adresse aussperren.