Thread: Useraccount Sicherheit

Hallo,

ich habe nun ein Forum mit PHP und MySQL programiert an dem auch alles funktioniert. Nur hinter eine Sache bin ich noch nicht gekommen, wie ich das programmieren soll. Ich möchte, dass ein User sich nach 5facher falschen eingabe des Namens und Passwortes für 15min keine einlogversuche mehr hat und somit auch bei richtiger eingabe der Daten nichts passiert.

Wie kann ich das am besten programmieren, ich dachte irgendwie mit cookies, aber die kann man ja löschen und viele akzeptieren die nunmal nicht. Würde es mit IP-Adresse funktionieren, doch was ist wenn er ein IP-Changer hat, und wie kann ich überhaupt die IP-Adresse auslesen?

Wäre echt super wenn mir jemand einen weg beschreiben könnte, mit PHP wenn möglich. Vielen Dank

markus

Schmeiss einfach ne Spalte in die User Tabelle, wo der Zeitpunkt des letzten Loginversuchs als Datetime drin steht. Dann noch nen Feld wo du die Versuche hochzählst.

Je nachdem wie du es genau haben willst, dann vielleicht noch die aktuelle IP.

Mit Cookies/Sessions geht es nicht, weil diese im Browser gelöscht werden können.

Besser ist es, eine Tabelle anzulegen, wo alle ungültigen Login-Versuche geloggt werden, komplett mit Username, Passwort und IP.

Nur so kannst du im Nachhinein zB feststellen, ob sich ein User nur vertippt hat (man sollte gar nicht glauben, wie viele ein Passwort mit irgendeinem Monatsnamen haben - und da gibt es ja an die 12), oder ob es ein gezielter Angriff eines Bots ist.

Bei unserem CMS ist es glaub ich so, dass nach X Fehlschlägen innerhalb von Y Minuten das Script mitbeinhart beendet wird.
Etwas freundlicher wäre es, ab diesem Zeitpunkt nicht komplett auszusteigen, sondern zB eine Captcha anzuzeigen. So haben wir es hier bei den Downloads gemacht, da das sehr schnell auf den Traffic geht. Wird eine Datei von einer IP innerhalb von X Minuten Y mal aufgerufen, wird ein Captcha dazwischen geschalten.

LG, bmk.

also soll ich dann sozusagen die ip speichern wie dus gesagt hast und dann mit zeitangabe und somit die ip zählen wie oft in den letzen 5 min versucht wurde falsch einzuloggen, und es somit für diese ip für die nächsten 15 min sperren oder?
was ist wenn diese person aber noch einen ip changer hat und dann beispielsweise seinen bot laufen lässt der passwörter hackt. dann funktioniert das mit dem ip speichern und sperren ja auch nicht mehr oder?

und wie sieht es aus mit einem captcha...kann da kein program den inhalt des captchas lesen und dann einfach einfügen?

auch und noch ne frage, warum werde captchas immer so schwer lesbar gemacht. gibt das irgendwie mehr security...und wenn ja warum? das versteh ich nicht, weil manchmal ist das einen echte herausforderung den richtigen code einzugeben

Joa. Deswegen auch nicht nach IP loggen, sondern nach Benutzername.

@sim4000: ... was dir aber nichts bringt, wenn der Bot einfach mit zufälligen Buchstabenkombinationen daherkommt. Welchem Usernamen willst du das dann zuordnen?

@herbx: Du könntest auch mal über mod_evasive nachdenken.

hmm...hab davon gehört aber mich noch nicht so damit auseinander gestezt...ich werde mal schaun ob ich ein gutes tutorial finde. Danke für den Tipp!

Das bringt aber nichts gegen ipwechsel.


Wenn der bot bei jedem angriff die ip wechselt (was er nicht tut) ist nichts zu machen. Allerding könntest du gegen den bot ein captcha einsetzten und zusätzlich die ip samt sessionid speichern zählen.

Grüsse


Edit: Oh Captcha wurde schon genannt als idee   

okay, ich glaube ich bin gut ausgerüstet :)

eine frage hätte ich noch. wenn ich nun einen Captcha programmieren (ja ich will ihn selber machen, damit ich ihn evtl auch dem design anpassen kann und ich halte nichts von herruntergeladenen scripts) dann stellt sich mir die frage, muss ich es mit random linien machen. Das erschwert doch nur das lesen. Gibt das irgendeinen vorteil. Also bei manchen ist es nämlich eine echte herausforderung den code zu lesen. ich weiß nämlich nicht was diese besonderen schriftarten und linien an sicherheit verbessern.

ausserdem hab ich noch folgedes gefunden, was haltet ihr davon?

website - Tips und Tricks gegen Spam

Das Captcha[1] was ich mir gebaut habe, hat so einen Schnickschnack nicht.
Und wurde auch bis jetzt nicht geknackt.

[1] http://www.sim4000.de/sicherheitsbilder--captchas-,6,18.html