Hallo Fabian,

das sollte ja nur eine Anregung sein. Wahrscheinlich ist das sleep(1) in der authenticate-Funktion besser platziert. Denn die wird immer dann aufgerufen, wenn Loginname-Passwort NICHT passen.

Eine Sekunde stellt im Extremfall auch nur eine Verlängerung der Probierdauer um Faktor 20 bis 30 dar (Mittlere Responsetime in IP-Netzen 30-50ms)

Einen besseren Schutz erhält man durch automatische Sperre des Accounts für z.B. eine viertel Stunde, wenn innerhalb der letzten 5 Minuten mehr als drei Fehlversuche stattgefunden haben. Das wäre dann schon Faktor 300. Und wenn innerhalb einer Stunde mehr als 10 Fehlversuche stattgefunden haben, wird der Account ganz gesperrt. Das wäre dann "Faktor gegen Unendlich".

Allerdings muss man dann zweckmäßigerweise den Loginnamen auch als vollwertiges Credential behandeln, also nicht offenlegen, also genauso behandeln, wie das Passwort. Dann hat man zumindest noch die realtive Sicherheit, dass es erst erraten wrden muss, um damit Schindluder zu treiben, also den Accountinhaber per Fake auszusperren.

Ist nämlich ein nettes Spiel, einfach mal über electronic Banking eine wildfremde Kontonummer anzusprechen und dann drei Fehlversuche darauf abzulassen. Der Inhaber wird sich ärgern, dass seine eBank-Verbindung immer gesperrt ist.

Grüße

Tom