Hallo,
zur Zeit ist es möglich, beliebig oft das Kennwort auszuprobieren. Wenn man lang genug testet, sollte man es irgendwann herausfinden. Notfalls per Skript.
Aus Sicherheitsgründen habe ich das bei einer Webseite wie folgt gelöst:
Wenn der Benutzer 3x sein Kennwort falsch eingegeben hat, wird er "gesperrt". Ein entsprechender Zähler ist in der DB hinterlegt.
Beim nächsten Mal kann er einen Freischaltcode per eMail (an die im System hinterlegte) beantragen. Dieser Code muss im geöffneten Browser eingegeben werden und ist nur eine bestimmte Zeit gültig. Der Freischaltcode wird dazu in der Session gespeichert und abgeglichen.
Nun kann er ein neues Kennwort definieren.
Dieses Verfahren wurde seinerzeit von Datenschützern mit sehr gut bewertet.
Gibt es schon eine solche Lösung bzw. einen entsprechenden Ansatz? Ansonsten kann ich gerne versuchen die Funktion zu implementieren...
Herzlichst
Andre
Sicherheit bei wiederholt falscher Kennworteingabe
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.0, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
-
andre.steffens
- Mitglied
- Beiträge: 5
- Registriert: 24.12.2006 08:04
- Wohnort: Weiler
- Kontaktdaten:
