Hi

das sollte ja nur eine Anregung sein. Wahrscheinlich ist das sleep(1) in der authenticate-Funktion besser platziert. Denn die wird immer dann aufgerufen, wenn Loginname-Passwort NICHT passen.

Deswegen sag ich das ja, ich habe nämlich so etwas für meinen Admin-Bereich angepasst und versucht, mich selber zu hacken *g*

Eine Sekunde stellt im Extremfall auch nur eine Verlängerung der Probierdauer um Faktor 20 bis 30 dar (Mittlere Responsetime in IP-Netzen 30-50ms)

Jau, von dem Ping träumt jeder Online-Spieler ;-)

Einen besseren Schutz erhält man durch automatische Sperre des Accounts für z.B. eine viertel Stunde, wenn innerhalb der letzten 5 Minuten mehr als drei Fehlversuche stattgefunden haben. Das wäre dann schon Faktor 300. Und wenn innerhalb einer Stunde mehr als 10 Fehlversuche stattgefunden haben, wird der Account ganz gesperrt. Das wäre dann "Faktor gegen Unendlich".

Aber, wie du weiter unten sagst, unsinnig.

Allerdings muss man dann zweckmäßigerweise den Loginnamen auch als vollwertiges Credential behandeln, also nicht offenlegen, also genauso behandeln, wie das Passwort.

Das mache ich grundsätzlich. Dazu muss allerdings in einem offenen Projekt gewährleistet sein, dass der angezeigte _Nick_name anders lautet, bzw. lauten sollte.

Dann hat man zumindest noch die realtive Sicherheit, dass es erst erraten wrden muss, um damit Schindluder zu treiben, also den Accountinhaber per Fake auszusperren.

Jepp, doppelte Sicherheit.

Ist nämlich ein nettes Spiel, einfach mal über electronic Banking eine wildfremde Kontonummer anzusprechen und dann drei Fehlversuche darauf abzulassen. Der Inhaber wird sich ärgern, dass seine eBank-Verbindung immer gesperrt ist.

Wie war gleich deine Nummer...? *fg*

Fabian