Stephan Schaade: Passwortkonzept gesucht

Hallo,

ich benötige Hilfe bei der Realisierung eines Passwortkonzepts für den Zugriffschutz eines WEB Bereichs. Das ganze sollte auf einem IIS 4 laufen:

Hier die Idee:
1. Schritt User erhält Mail mit Anmeldeseite und Passwort  zur Anmeldung (Möglichst automatische Generierung von ca. 1k Kennungen zur Weitergabe)

2. User definiert eigene Benutzerkennung und Passwort (Mit Änderungsmöglichkeit)

3. User identifiziert sich mit Benutzerkennung und  Passwort

4. User erhält die Möglichkeit sich seine Benutzerkennung und Passwort abzuspeichern ( Cookie) d.h. nicht nur für eine Session. Funktion für Passwortfaule ;-).
Die Lösung mit der Kodierung in der URL mit http://user:kennung@www ... scheidet leider aus.

Hat jemand eine Idee oder auch fertige ( kommerzielle ) Losung die dies realisiert ?

Es langt nicht nur den Eingang dichtzumachen, sondern der ganze Webbereich sollte geschl. sein.

  1. Hier die Idee:

    1. Schritt User erhält Mail mit Anmeldeseite und Passwort  zur Anmeldung (Möglichst automatische Generierung von ca. 1k Kennungen zur Weitergabe)

    Aus was sollen die generiert werden, damit sie disjunkt zu anderen Kennungen bleiben? Gibt der User einen eindeutigen Präfix an, der dann um weitere Zeichen verlängern wird?
    Wer soll die Mail aufgrund welchen Ereignisses versenden?

    1. User definiert eigene Benutzerkennung und Passwort (Mit Änderungsmöglichkeit)

    Einfache CGI-Anwendung, kann man in ca. einer Stunde zum Laufen bringen (habe ich schon mal mit Perl gemacht).

    1. User identifiziert sich mit Benutzerkennung und  Passwort

    Kann man selbst realisieren - eingebaute Prüfung wäre aber sicherer. Ich weiß nicht, was IIS alles kann - ist der verbindlich? Wäre Apache 1.3.4 auf Windows NT eine denkbare Alternative? Der hat .htaccess ...

    1. User erhält die Möglichkeit sich seine Benutzerkennung und Passwort abzuspeichern ( Cookie) d.h. nicht nur für eine Session. Funktion für Passwortfaule ;-).

    Alle vier Funktionen habe ich schon mal im Quelltext des Ultimate Bulletin Boards gesehen (die Cookies nur in der Profi-Version). Das gibt es im Quelltext (Perl), kostet um die 150$. (www.ultimatebb.com)

    Es langt nicht nur den Eingang dichtzumachen, sondern der ganze Webbereich sollte geschl. sein.

    Völlig klar. (.htaccess geht rekursiv für ganze Verzeichnigbäume.)

    1. Hier die Idee:

      1. Schritt User erhält Mail mit Anmeldeseite und Passwort  zur Anmeldung (Möglichst automatische Generierung von ca. 1k Kennungen zur Weitergabe)
        Aus was sollen die generiert werden, damit sie disjunkt zu anderen Kennungen bleiben? Gibt der User einen eindeutigen Präfix an, der dann um weitere Zeichen verlängern wird?
        Wer soll die Mail aufgrund welchen Ereignisses versenden?

      Die Info wird von uns an einen ausgewählten Benutzerkreis personenbezogen  vergeben - Denkbar ist es bereits den Benutzeraccount anzulegen - dies erhöht jedoch den Verwaltungsaufwand für 1k user erheblich. Die Idee ist es einfach nur eine dieser Einstiegskennungen an eine Person zu versenden. Damit kann bereits die Berechtigungsklasse erkannt und eine Weitergabe verhindert werden. Die kann beliebige (aber genügend lange) Hausnummern enthalten.

      1. User definiert eigene Benutzerkennung und Passwort (Mit Änderungsmöglichkeit)
        Einfache CGI-Anwendung, kann man in ca. einer Stunde zum Laufen bringen (habe ich schon mal mit Perl gemacht).
      1. User identifiziert sich mit Benutzerkennung und  Passwort
        Kann man selbst realisieren - eingebaute Prüfung wäre aber sicherer. Ich weiß nicht, was IIS alles kann - ist der verbindlich? Wäre Apache 1.3.4 auf Windows NT eine denkbare Alternative? Der hat .htaccess ...

      Die Entscheidung muß iche erst einmal abklopfen. Ich habe schon mal in Java Script probiert die vom Browser abgefragte Kennung zu übergeben, hatte aber keinen großen Erfolg :-((

      1. User erhält die Möglichkeit sich seine Benutzerkennung und Passwort abzuspeichern ( Cookie) d.h. nicht nur für eine Session. Funktion für Passwortfaule ;-).
        Alle vier Funktionen habe ich schon mal im Quelltext des Ultimate Bulletin Boards gesehen (die Cookies nur in der Profi-Version). Das gibt es im Quelltext (Perl), kostet um die 150$. (www.ultimatebb.com)

      Es langt nicht nur den Eingang dichtzumachen, sondern der ganze Webbereich sollte geschl. sein.
      Völlig klar. (.htaccess geht rekursiv für ganze Verzeichnigbäume.)

      P.S. erst einmal Danke für die Infos

        1. User identifiziert sich mit Benutzerkennung und  Passwort
          Kann man selbst realisieren - eingebaute Prüfung wäre aber sicherer. Ich weiß nicht, was IIS alles kann - ist der verbindlich? Wäre Apache 1.3.4 auf Windows NT eine denkbare Alternative? Der hat .htaccess ...
          Die Entscheidung muß iche erst einmal abklopfen. Ich habe schon mal in Java Script probiert die vom Browser abgefragte Kennung zu übergeben, hatte aber keinen großen Erfolg :-((

        Javascript ist m. E. grundsätzlich keine Lösung. Denn ich als Anwender kann mir ja die HTML-Seite inklusive JavaScript-Code lokal abspeichern und die JavaScript-Routinen umschreiben.
        Die Prüfung muß auf dem Server erfolgen, also CGI, ASP etc. - oder noch besser durch eine integrierte Funktion des Webservers.