Sicherheit bei wiederholt falscher Kennworteingabe
Verfasst: 24.12.2006 09:38
Hallo,
zur Zeit ist es möglich, beliebig oft das Kennwort auszuprobieren. Wenn man lang genug testet, sollte man es irgendwann herausfinden. Notfalls per Skript.
Aus Sicherheitsgründen habe ich das bei einer Webseite wie folgt gelöst:
Wenn der Benutzer 3x sein Kennwort falsch eingegeben hat, wird er "gesperrt". Ein entsprechender Zähler ist in der DB hinterlegt.
Beim nächsten Mal kann er einen Freischaltcode per eMail (an die im System hinterlegte) beantragen. Dieser Code muss im geöffneten Browser eingegeben werden und ist nur eine bestimmte Zeit gültig. Der Freischaltcode wird dazu in der Session gespeichert und abgeglichen.
Nun kann er ein neues Kennwort definieren.
Dieses Verfahren wurde seinerzeit von Datenschützern mit sehr gut bewertet.
Gibt es schon eine solche Lösung bzw. einen entsprechenden Ansatz? Ansonsten kann ich gerne versuchen die Funktion zu implementieren...
Herzlichst
Andre
zur Zeit ist es möglich, beliebig oft das Kennwort auszuprobieren. Wenn man lang genug testet, sollte man es irgendwann herausfinden. Notfalls per Skript.
Aus Sicherheitsgründen habe ich das bei einer Webseite wie folgt gelöst:
Wenn der Benutzer 3x sein Kennwort falsch eingegeben hat, wird er "gesperrt". Ein entsprechender Zähler ist in der DB hinterlegt.
Beim nächsten Mal kann er einen Freischaltcode per eMail (an die im System hinterlegte) beantragen. Dieser Code muss im geöffneten Browser eingegeben werden und ist nur eine bestimmte Zeit gültig. Der Freischaltcode wird dazu in der Session gespeichert und abgeglichen.
Nun kann er ein neues Kennwort definieren.
Dieses Verfahren wurde seinerzeit von Datenschützern mit sehr gut bewertet.
Gibt es schon eine solche Lösung bzw. einen entsprechenden Ansatz? Ansonsten kann ich gerne versuchen die Funktion zu implementieren...
Herzlichst
Andre