Anmeldung
Generell ist die Anmeldung eines Users am System kein Thema:
User gibt Benutzername und Passwort ein, diese werden überprüft, falls sie übereinstimmen ist der User angemeldet.
Doch sollte man einige Punkte beachten:
Eine einfache Variante wäre die Authentifizierung mittels Htaccess und Htpasswd
nur hat es mehere Nachteile, die man nicht ausser Augen lassen sollte.
Ein weiterer Weg wäre es, dem User x Versuche zu geben.
Nach dem er alle Versuche verbraucht hat, würde der User gesperrt, und muss sich mit dem Adminstrator auseinander setzen.
Diese Methode ist sehr effektiv, kann aber auch nach hinten los gehn.
Um so eine DOS-Attacke abzuschwächen, könnte man nach jedem Fehlversuch das Login für diesen User für eine gewisse Zeit sperren.
zB: nach dem ersten Versuch 1 min, 2ter 2 min, ...
Die beste Methode wäre sicher eine Mischung aus den letzten beiden Varianten:
Beim Anmeldeformularen sollte man auch andere Absicherungen treffen (siehe sichere Formulare).
- Wie fragt man die Anmeldung ab
- Wie oft darf der User sich erfolglos anmelden, um dann gesperrt zu werden.
- oder wird bei jedem erfolglosen Versuch das Zeitintervall verlängt bis er wieder einen Versuch starten darf.
Eine einfache Variante wäre die Authentifizierung mittels Htaccess und Htpasswd
nur hat es mehere Nachteile, die man nicht ausser Augen lassen sollte.
- Das Abfrageformular kann nicht verändert werden, und sieht in jedem Browser und Betriebssystem anderes aus.
- der User kann so oft er will die Abfrage machen, bis er eine richtige Kombination aus Benutzername und Passwort gefunden hat. siehe auch Passwörter -> Angriffsarten -> Brute Force
 Firefox |  unter Mac |
 Mozilla |  Windows XP - Internet Explorer 6 |
Ein weiterer Weg wäre es, dem User x Versuche zu geben.
Nach dem er alle Versuche verbraucht hat, würde der User gesperrt, und muss sich mit dem Adminstrator auseinander setzen.
Diese Methode ist sehr effektiv, kann aber auch nach hinten los gehn.
Beispiel: Ein Bot versucht sich anzumelden, und sperrt dadurch einige bis alle Benutzer.
daraufhin hat der Adminstrator Stress, weil User sich melden.
Diese Art nennt man DOS Attacke, weitere Infos dazu findet ihr
unter Passwörter -> Angriffsarten -> DOS Attacke
Um so eine DOS-Attacke abzuschwächen, könnte man nach jedem Fehlversuch das Login für diesen User für eine gewisse Zeit sperren.
zB: nach dem ersten Versuch 1 min, 2ter 2 min, ...
Die beste Methode wäre sicher eine Mischung aus den letzten beiden Varianten:
zB: der User bekommt x Versuche,
nach den ersten 3 Versuchen wird das Zeitintervall aktiv
nach dem xten Versuch wird der User gesperrt.
Falls sich der User wieder einmal erfolgreich Anmeldet, werden die Fehlversuche wieder zurück gesetzt.
Beim Anmeldeformularen sollte man auch andere Absicherungen treffen (siehe sichere Formulare).