✔ Login-Sperre

[FrankWST]

Hallo,

ich habe eine Frage zum Thema "Benutzer-Login":
Ein böser Benutzer könnte versuchen Passwörter zu erraten, indem er einfach unendlich Passwörter ausprobiert.

Eine einfache Maßnahme dagegen wäre, nach X Fehlversuchen den Benutzer für einige Zeit zu sperren. Das hat aber den entscheidenden Nachteil, dass der rechtmäßige Benutzer damit auch ausgesperrt wäre, nicht nur der Bösewicht!

Hat jemand von Euch eine bessere Idee?

Vielen Dank,
Frank

 

[Alex_T]

Hallöle,

in einem solchen Fall sollte der rechtmäßige Benutzer erstmal benachrichtigt werden, dass es vermutlich einen Angriff auf seinen Account gegeben hat und sein Login vorübergehend gesperrt wurde.
(natürlich als Mail verschickt).

In besagter Mail kann man auch gleichzeitig noch einen Reaktivierungslink hinterlegen, über den der rechtmäßige Benutzer seinen Login wieder freischalten kann.


Tja, so würde ich das zumindest angehen - vielleicht gibts auch noch andere Meinungen.

 

[Flex]

Um das Problem zu lösen gibt es eine einfache Lösung:

Schick an die E-Mail des Besitzers direkt eine E-Mail mit der Nachricht, dass der Account gesperrt wurde, inkl. einem Link zum Freischalten.
Nach dem Klicken ist der Account wieder frei zum Einloggen.

 

[tombe]

Mach es wie beim Handy.

3 mal die falschen Daten (PIN) und der Zugang wird gesperrt. Der Benutzer wird am Bildschirm und per Mail darüber informiert und muss jetzt eine zweites Passwort (PUK) eingeben.

Dafür hat er nur einen Versuch, ist diese Eingabe auch falsch, bleibt die Sperre erhalten und du bekommst die Mitteilung.

Dazu musst du dann halt ein zusätzliches Feld in die DB aufnehmen wo das zusätzliche Passwort gespeichert wird.

 

[FrankWST]

Ah, klar!
Das klingt gut, vielen Dank Euch Dreien!

LG,
Frank