Login

#1 (**permalink**) 08-05-2003, 17:01

Ich hab da mal noch eine Idee:
Und zwar gibt es noch ein Sicherheitsloch....Hacker verwenden oft eine Art des Passwortknackens, indem sie alle Varianten durchführen, bis es einmal zum Erfolg kommt!
Und nun bastele ich ein kleine Add-On, welches dies verhindern soll! Dabei wird eine externe txt-Datei verwendet, indem die Versuche des Login gespeichert werden! Wenn die Zahl zu groß wird, kommt es zu einem Fehler und man hat für 10 Minuten oder so keine Login-Funktion!
Das kjann man natürlich auch direkt in die MySQL Datenbank schreiben, davon hab ich aber nicht sehr viel Wissen! Das kann ja dann jemand anderes machen...

Was denkt ihr darüber???

#2 (**permalink**) 08-05-2003, 17:06

ich habe dich abgetrennt.

schliesslich sind die code-schnipsel ein reines code-forum aber dein diskussions-forum.

#3 (**permalink**) 08-05-2003, 17:09

is zeimliech fürn arsch find ich, da das nur greift, solang ich nich ne neue session-id bekomme oder?
also entweder mach ich den browser einfach neu auf und hab ne andere session-id oder ich hab (praktischer) ein tool dafür, dass afair ne neue anfrage startet und automatisch ne neue session-id bekommt

die ip wolltest du ja nich wirklich benutzen oder doch?

#4 (**permalink**) 08-05-2003, 17:16

Nagut, ich will mal warten, was andere User noch so dazu meinen....
Wenn VIELE dafür sind, werde ich es mal hier veröffentlichen......

#5 (**permalink**) 08-05-2003, 17:19

Was man noch machen könnte:

1.) Man könnte aber andererseits jedem User 1 zusätzliches Feld mitgeben indem der fehlgeschlagene Logingversuch +1 addiert wird. Ist dieser Zähler beim 10 mal angelangt, könnte man das PW auf ein zufälliges PW setzen und dieses dann an seine eMail-Adresse schicken und gleichzeitig hinterlegen in einem evtl. zusätzlichen Feld das er beim Anmelden ein neues vergeben soll, erst wenn das gemacht wurde verschwindet die Warnmeldung (PopUp zum Nerven z.B.)

2.) In die Session die derzeige Ip-Adresse des Users integrieren sobald diese abweicht, (24H Stunden Trennung durch Provider, bekommt bei Neuanmelden beim Provider neue IP) kann man die Session für ungültig erklären und zum Neuanmelden auffordern.

#6 (**permalink**) 08-05-2003, 17:23

2. find ich doof, weil ich dann mitunter aus manchen foren oder weiß de rgeier wo rausfliegen würd obwohl ich nix getan hab (session-id reicht eigentlich aus!)

1. hmm, naja, also das is so:
ich hab ein neues passwort und muss den zähler wieder von 10 auf 0 zurücksetzen oder?
is also das gleiche als ob ich überhaupt keinen zähler hätte
und wer sagt dir, dass das neue passwort nicht rausgefunden werden kann?

#7 (**permalink**) 08-05-2003, 17:33

zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird. Weiterhin könnte man das Profil auch deaktivieren nach dem x Versuch.

@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.

#8 (**permalink**) 08-05-2003, 17:36

Ich kann ja auch noch Cookies einbauen....da brauch ich mich nicht jedesmal wieder neu einloggen....
Dieses Cookie kann dann 50 Tage auf dem Rechner blewiben, danach löscht es sich automatisch....sicherer ist es natürlich ohne Cookie!

Ich sehe, dass es viele Ideen gibt! Aber die UMSETZTUNG!!!!.....

#9 (**permalink**) 08-05-2003, 17:40

Zitat:

Original geschrieben von davidm
Aber die UMSETZTUNG!!!!.....

.... musst du alleine machen....

#10 (**permalink**) 08-05-2003, 17:41

Zitat:

Original geschrieben von Payne_of_Death
zu 1.)
Alternativ kann man mit den Mods auch ein Standard PW vereinbaren, welches nach der x Fehlanmeldung automatisch gesetzt wird.

und das passwort is sicherer?
warum nehm ich's dann nich gleich?

Zitat:

@Happy: Könntest aber auch deine Lösungsanregungen die du mitunter in deiner Klasse verwendest hast mal kurz präsentieren.

lösungsanregung dafür?
gibt's keine, weil ich nicht wüsste wie ich das machen könnte, außer nach 10 logins das profil zu sperren und dem user nen freischaltlink zu schicken (ich glaub das bau ich noch rein, aber das is imo auch nich das nonplusultrasinequanon *g*)

EDIT:
@danielm
cookies gibt's schon *g*

#11 (**permalink**) 08-05-2003, 17:41

Jupp und da geht es schon los!!!
Ich hab nicht sehr viel Ahnung (um nicht zu sagen KEINE) von PHP und CO...Leider!
Deshalb bin ich auch immer zu auf der Suche noch TUTs und tollen Scripts...

#12 (**permalink**) 08-05-2003, 18:02

Zitat:

Original geschrieben von davidm
[...] und tollen Scripts...

happy hat auch ein tolles script bei den code-schnipseln gepostet.

#13 (**permalink**) 08-05-2003, 18:10

Zitat:

und das passwort is sicherer?
warum nehm ich's dann nich gleich?

Nö.

Ganz einfach weil dies nur für die Zwecke gedacht ist, falls jemand 1.) neuer User wird oder 2.) Passwort nicht mehr weiss

3.) Wird das System solange Terror schieben und vereinzelte Teile sperren bis ein anderes Passwort vergeben wurde welches kein Standardpasswort mehr ist.

4.) Kann man dieses Rücksetzungsverfahren noch verfeinern indem man nur 1 Anmeldung allgemein für alle User erlaubt, (falls 2 User ein Passwort zurückgesetzt bekommen haben). Zweitens könnte man einem User der ein PW zurückgesetzt bekommen hat mit einem Zähler in Verbindung bringen -> 1 malige Anmeldung zugelassen -> kein neues PW vergeben bis zur nächsten Standard-PW Anmeldung
-> Account deaktiviert

Es geht doch nicht um die Sicherheit eines PWs, dafür ist der User selber verantwortlich, sonst könnte man ja gleich ein Zufallgeneriertes PW dem User geben wo er nicht ändern kann.

Also 4.) könnte vielleicht eine gute Idee sein

#14 (**permalink**) 08-05-2003, 20:27

3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt

4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)

@Abraxax
danke, zuviel der ehre

P.S. es geht sehrwohl um die sicherheit des passworts. zum einen um das pw des users (das is aber dessen aufgabe) und zum anderen um die des standardpassworts das du vergeben willt

#15 (**permalink**) 08-05-2003, 20:59

Zitat:

3.) bringt doch auch nix, da es den hacker en dreck kümmert ob bestimmte teile gesperrt sind (die "passwort ändern"-funktion kannst du ja nicht sperren *g*)
ihm reicht's wenn er ins system kommt

Kann zwar eh vergessen, aber war aber auch net so gemeint. Ich ging hier von dem Fall aus das einer mit dem Standard PW sich anmeldet.

Zitat:

4.) den ersten teil versteh ich nich, heißt dass wenn das passwort von user A und von user B zurückgesetzt wurde, dass sich dann nur einer von beiden mit dem standardpasswort anmelden kann? was wenn das Uuser A is, der aber gearde 14 Tage in Urlaub is? Hat B dan die arschkarte gezogen? oder wie meinst du das?

den zweiten teil find ich nich gut, da es ja immer mal vorkommen kann, dass man sich vertippt. du kannst die user ja nich zwingen das passwort mit copy&paste aus der mail zu holen (die ja auch erstmal geschickt werden will)

Erster Teil mein ich genau so, aber da ich gewissermaßen erzwinge das sich einer innerhalb seiner Standard PW-Session sein PW ändern soll. Hat User B nicht die Arschkarte gezogen.

Zweiter Teil ich muss denen nicht via eMail mitteilen wie das Standard PW heisst, da ich dies grundsätzlich in jeder Session so mitteilen kann für den Fall.
So wissen die Mods wie sie sich im Fall nach einem x Versuch der Fehlanmeldung noch 1 mal anmelden können nachdem ist Admin dran.

Abgesehen davon ist das Standard PW eh keinem von Haus aus erlaubt zu benutzen da:

1.) ein gültiger Usernamen eingegeben werden muss
1.1) dieser muss entweder ein Mod sein
2.) das System muss den Account zurückgesetzt haben
3.) das Standard-PW muss richtig eingegeben werden
4.) Sollte das Standard-PW 3x mal falsch eingegeben worden sein -> Account deaktiviert

Daher denke ich du interpretierst hier was anderes als ich meine, hoffe das ist jetzt so ungefähr klar.

hm, ohne eMail ist es ein Hauch von Unsicher wenn man weiss wie das ganze funktioniert.

Deshalb sollte das Standard PW doch besser zufallsgeneriert sein und in der Datenbank gesichert werden und so zum User kommen, der dann auf einen Link klickt.
Und die eMail ist dann 5 Tage gültig (mit dem PW), danach ist der Account deaktiviert.

Also Sicherheit ohne eMail Kommunikation nicht machbar