nicht angemeldet
Community Login, fehlerhaft Logins und Passwort Recovery
Hallo zusammen,
ich arbeite zur Zeit an einem CMS mit personalisierten Seiten. Zur Authentifizierung benutzen wir eine MySql Datenbank, die u.a. die Logins, die mit md5 gehashten Kennwörter und die eMail Adressen der User enthält.
Bei einem falschen Kennwort zählen wir die fehlerhaften Loginversuche hoch. Meine erste Frage: ist es sinnvoll, nach z.B. zehn Fehlversuchen den Account zu deaktivieren und dem Besitzer eine eMail zu schicken, die einen Link enthält um den Account wieder zu aktivieren? Hintergrund ist, dass versucht werden kann, die Kennwörter zu knacken. Auf der anderen Seite könnten Angreifer einen User, deren Login sie kennen somit gehörig nerven.
Meine zweite Frage: Wie realisiere ich ein "Passwort vergessen" - Feature? Basieren könnte das ganze auf der eMail Adresse. Leider können wir da Login und Kennwort nicht einfach hinschicken, da das Kennwort ja gehasht ist. Einfach ein neues Kennwort zuweisen und dass dann per mail verschicken ist evtl. auch nicht so sinnvoll, da ich ja nicht davon ausgehen kann, dass nicht wieder jemand einen User ärgern möchte. Mein Favorit ist jetzt ein mail-basiertes Challenge Response Verfahren (a la Microsoft): "Haben Sie ihr kennwort wirklich vergessen ? Klicken Sie hier, um ein neues Zugewiesen zu bekommen".
Was sagt Ihr dazu? Gibt es im Internet irgendwo eine Doku, wie das bei professionellen Communities gemacht wird?
Greetings,
Charlie07
-
Hallo Charlie,
ist es sinnvoll, nach z.B. zehn Fehlversuchen den Account zu deaktivieren und dem Besitzer eine eMail zu schicken, die einen Link enthält um den Account wieder zu aktivieren?
deine Bedenken sind imho schon richtig, vielleicht baust du eine Zeitsperre ein, die den Account nach ca. 5min o.ä. wieder "freigibt" (aber nicht hinschreiben, wie lange der Account noch gesperrt ist).
Einfach ein neues Kennwort zuweisen und dass dann per mail verschicken ist evtl. auch nicht so sinnvoll, da ich ja nicht davon ausgehen kann, dass nicht wieder jemand einen User ärgern möchte.
du kannst das Passwort ja zuschicken (nur 1x am Tag oder so möglich) aber erst beim nächsten Login entscheiden, welches Passwort weiterverwendet wird (wenn das neue benutzt wird wirfst du eben das alte weg und umgekehrt).
Mein Favorit ist jetzt ein mail-basiertes Challenge Response Verfahren (a la Microsoft): "Haben Sie ihr kennwort wirklich vergessen ? Klicken Sie hier, um ein neues Zugewiesen zu bekommen".
mhh... ich kenne das crv nicht, aber wo liegt da der Unterschied?
Grüße aus Nürnberg
Tobias-
Hallo Tobias,
die Zeitsperre ist ne gute Idee!
mhh... ich kenne das crv nicht, aber wo liegt da der Unterschied?
Ich hatte mir das CRV so vorgestellt:
- User vergisst Kennwort
- User gibt seine eMail Addresse in ein Formular ein
- das System generiert einen Hashwert, speichert ihn als Challenge in der DB und schickt ihn dem User per eMail
- User ruft eMail ab, klickt auf den Link, der die Challenge enthält
- System vergleicht beide Challences. Bei Identität wird ein neues Kennwort generiert, das zusammen mit dem Login wieder an den User geschickt wird.
Damit lässt sich ein Missbrauch ausschliessen, da der User ja zweimal aktiv werden kann. Ein Angreifer bekommt die Mail hoffentlich nicht in die Hände, und kann die Challenge nicht erraten. Wenn er die Mail doch abfangen kann, haben wir ein ganz anderes Problem ...
Greetings,
Charlie07-
Hallo Charlie,
- User gibt seine eMail Addresse in ein Formular ein
die E-Mailadresse die in der Datenbank gespeichert ist?
Damit lässt sich ein Missbrauch ausschliessen, da der User ja zweimal aktiv werden kann.
ja, ich denke schon, aber unter Umständen dauert das ganze recht lange...
Wenn er die Mail doch abfangen kann, haben wir ein ganz anderes Problem ...
allerdings... :-)
Grüße aus Nürnberg
Tobias
-
-
Hallo,
hatte auch mal so ne ähnliche Frage: http://forum.de.selfhtml.org/archiv/2003/1/35693/
...fände weitere Ideen aber auch spannend!
Tom
-
Danke! hatte ich leider nicht gefunden...
-