Sicheres Loginsystem mit OTP / Tan

R

Rinecer

Grünschnabel
Hallo Leute,

ich sitze gerade an einem Projekt bei dem es wichtig ist den Zugang zu einer Benutzerdatenbank aus Datenschutzgründen gut abzusichern. Da leider doch einige der Benutzer, welche in der Datenbank arbeiten, sehr schwache Passwörter benutzten, oder die Passwörter sogar anderen bekannt sind, schreibe ich nun einmal mein Anliegen hier im Forum.

Ich bin auf der Suche nach einer Art Tan-Authentifizierung zusätzlich zum Benutzerpasswort. Dabei sind mir der Blizzard Authenticator bzw. die Mobilen-Tan-Generatoren von Banken ins Auge gestochen.
Könnte man solch ein Gerät nicht dazu "Missbrauchen" um einen PHP Loginbereich abzusichern? Dann hätte jeder Benutzer zusätzlich einen "Dongel" dabei und müsste zu seinen Daten eine Tan eingeben.

Hat vielleicht schon jemand von Euch so etwas realisiert oder hat eine andere gute Idee, damit ich den Benutzern nicht alle paar Tage neue Tan-Listen zuschicken muss?

Vielleicht eine Idee die hier noch mehr Admins interessiert...
Nico
 
Die Sache mit dem Tan wäre doch nur ein Patch auf eine unsichere Funktion, in erster Linie sollte wohl mal dafür gesorgt werden, das die unsicheren Passwörter aus dem System verschwinden.
Dazu habe ich bei mir in den Scripten eine mind. Länge angegeben, welche eingehalten werden soll, das Passwort muss dabei aus mind. 2 Zahlen, 2 Buchstaben (1 davon klein, der andere Gross) und 2 Sonderzeichen bestehen.
Dass Passwort darf keine Teile des Nicknamens, Real-Namens oder der email-Adresse sein (manchmal muss man die Leute eben dazu zwingen, ihr Hirn wenigstens ab und an mal einzuschalten, ich hatte hier schon logindaten per Mail bekommen, wo ein Problemlosser Login ins Paypal und Bankkonto mit möglich gewesen ist).
 
Hallo,

danke für deine Antwort. An einem neuem System, welches die Benutzer zwingt ihre Passwörter komplex zu wählen und ggf alle x Wochen habe ich auch schon gedacht.

Das Tan-System wäre nur eine Art Erleichterung für die Benutzer, da jeder sein Blah-Blah-0815 Passwort von zu Hause weiter verwenden kann und nicht andauernd bei mir angelaufen kommt, weil er sein Passwort vergessen hat.

Aus diesem Grund fand ich den Blizzard Authenticator auch sehr interessant. Kleines Gerät, welches am Schlüsselbund getragen werden kann.

Vielleicht gibt es ja noch mehr Meinungen, bin auch offen für eine gepflegte Diskussion.
Nico
 
Um antworten zu können musst du eingeloggt sein.

Neue Beiträge

Zurück