Loginsystem: Sicherheit

mahe · 22. Oktober 2005, 10:42:57

Wie machen wir das Loginsystem?
Kompatibel zu den alten pScripten? (PW-\"Verschlüsselung\")
Was sollten wir beachten, worauf ein besonderes Augenmerk legen?
Mein Vorschlag:
Ist inkompatibel zu den alten pScripten.
Von den PWs wird ein md5-Hash in der DB gespeichert.
Es sollte Sicherheitsrichtlinien für PWs geben welche der Admin (de-)aktivieren bzw. einstellen kann:
-) PWs müssen regelmäßig geändert werden
-) PW-History damit der User nicht nur zwischen 2 PWs wechselt
-) bestimmte Bedingungen müssen erfüllt werden:
--- min. Länge
--- PW != Login/Nick
--- Groß-/Kleinschreibung, Ziffern, Sonderzeichen (was bzw. wieviel davon erfüllt sein muss stellt der Admin ein)
-) nach x falschen Logins sollte der Account deaktiviert werden (Mail-Reaktivierung)

Powie · 22. Oktober 2005, 11:14:03

PW -> password() Funktion von mySQL zwingend verwenden, macht da sganze kompatibel auch zu third party anwendungen.
Deine restlichen Passwortfunktionen klingen ziemlich nach Siemens, kann man aber durchaus so machen.....
Deaktivieren nach Fehllogins: Bin ich strikt dagegen, das gibt einem sonst die Möglichkeit User zu \"ärgern\" die man nicht leiden kann indem man denen ständig das Konto sperrt.

mahe · 22. Oktober 2005, 11:19:48

PW -> password() Funktion von mySQL zwingend verwenden, macht da sganze kompatibel auch zu third party anwendungen.[/quote] inwiefern 3rd-Party?
Deine restlichen Passwortfunktionen klingen ziemlich nach Siemens, kann man aber durchaus so machen.....[/quote] *DOH* ERWISCHT! /uploads/emoticons/icon_e_biggrin.gif.1a84f5257b36e14b36d04985314f877f.gif\" alt=\":-D\" />
Deaktivieren nach Fehllogins: Bin ich strikt dagegen, das gibt einem sonst die Möglichkeit User zu \"ärgern\" die man nicht leiden kann indem man denen ständig das Konto sperrt.[/quote] Daran habe ich nicht gedacht /uploads/emoticons/icon_e_surprised.gif.a005678239f11b45b64b526b2c82e9a1.gif\" alt=\":o\" />Aber als Option (Standard: deaktiviert) denke ich wäre es schon denkbar, hängt halt auch davon ab wozu man es einsetzen will, für Community-Projekte ist es allerdings wie du sagst nicht geeignet.

Powie · 22. Oktober 2005, 11:20:24

jupp dafür !

Powie · 22. Oktober 2005, 11:21:02

btw.. Passwort Historie? die dann in Klartext speichern , sollte ja eigentlich nichts mehr dagegen sprechen oder ?

mahe · 22. Oktober 2005, 11:26:20

NEIN, nicht im Klartext, die Idee hatte ich auch schon.
Selbst wenn ich davon ausgehe dass wir alle Daten die vom User kommen 50mal prüfen halte ich das trotzdem für unsicher.
Deswegen wäre ich ja für einen md5-Hash vom Passwort, zumal md5 ja Systemunabhängig ist soweit ich weiß.

legato · 22. Oktober 2005, 16:28:30

md5() gibts quasi überall.
Ihr merkt vielleicht schon das ich immer gerne Vergleiche zu anderen Skripten gebe: Das Login System von SysCP macht auf mich einen sehr guten Eindruck. Vielleicht mal darauf einen Blick werfen...

/uploads/emoticons/icon_e_wink.gif.3167d127940f44558fbf1ccd9b6d60a9.gif\" alt=\";-)\" />

powie.de Tech Forum

Neuigkeiten:

Loginsystem: Sicherheit

mahe

Powie

mahe

Powie

Powie

mahe

legato