Hi!

Es gibt keinen Schutz gegen BruteForce, außer die notwendige Suchdauer durch geschickte Wahl von Username und Passwort so auszudehnen, dass vorher das Universum zerfällt.

Das geht nicht. Man kann auch ein 14567 Zeichen langes Paswort im ersten Versuch raten - wenn man ein bisschen Glück mitbringt ;-)
Aber Du hast schon Recht.

Die 5 Sekunden bedeuten, dass eine Instanz deines Webservers die 5 Sekunden durch Zeitverbraten (sleep()) abwartet.

Ja, war ne dumme Idee, gebe ich zu.

Das zweite Problem: Um einen Account zu sperren, muß natürlich ein korrekter Username benutzt worden sein. Wenn du "Admin-Bereich" schreibst, dann haben dort in der Regel nur wenige Benutzer Zugriff. Willst du dich gerne durch BruteForce aussperren lassen?

Und auch das ist ein Aspekt den ich noch nie gesehen habe. Aber ich frage mich was schlimmer ist, wenn der Admin-Zugang gesperrt ist, oder wenn die Software kompromittierten werden konnte?
Aber da das sicher keien gute Lösung ist habe ich wie unen erwähnt über dei Verwendung einer Client-Authentification per SSL nachgedacht, dann kombiniert mit der HTTP-Authentification(vielleicht sogar Digest?) und https.

Aber kann das überhaupt ohne echte von einer CA authorisierte Zertifikate funktinieren? Ich meine kann ich mit einer eigenen CA das selbe Sicherheitsniveau erreichen?

Du kannst gegen BruteForce nur eine Methode anwenden: Die regulären Benutzer müssen sichere Passworte verwenden (also Usernamen und Passworte mit einer Mindestlänge von 8 Zeichen, und aus einem Zeichenvorrat, der möglichst groß ist, also kleine und große Buchstaben, Zahlen und Sonderzeichen, und auch eine erzwungene Mischung dieser Zeichen - idealerweise generierst du die Passworte und setzt sie deinen Benutzern vor, anstatt dass sie sich selber welche ausdenken), und eine inkorrekte Anfrage sollte den Server so wenig wie möglich belasten.

Ja, das werde ich auf alle Fälle machen.

Grüße
Andreas