Hello,

wie realisiere ich einen sicheren Passwortschutz? Bzw. welcher ist der sicherste?

Welcher der sicherste ist, vermag ich nicht zu sagen. Aber ich denke, dass die authenication procedures, die NOVELL für den Zugang zu NDS und Filesystem verwendet schon recht ausgeklügelt sind. Daher haben die sich auch solange gegen TCP/IP gesträubt. Die Portierung von Sicherheitstechniken von einem Protokoll auf ein anderes ist kritisch.

Nun aber zurück auf den Boden der Tatsachen! Welche hochgeheimen Dinge willst Du denn über das Netz mit wem austauschen?
Für durchaus vielfrequentierte Internetseiten http://single.de hat bisher ein ganz normaler Sessionmechanismus mit zusätzlichem User-Cookie genügt. Das System ist in mehr als vier Jahren nicht einmal wirklich zusammengebrochen. Allerdings haben die dort auch konsequent gewissenhafte Programmierer.

Zum einen benutze ich .htaccess. Das soll ja aber auch nicht das sicherste sein. Gibt es dafür bereits einen Nachfolger, vielleicht mir einer höheren Verschlüsselung?

.htaccess ist ein Kontrollverfahren für den Zugang über HTTP beim Apachen. Es kontrolliert bei jedem Zugriff zwei im Klartext im Request-Header übertragene Credentials (Name und Passwort). Die gesamte Übertragung findet unverschlüsselt statt. Wenn Du Verschlüsselung wünschst, beschäftige dich mit ssl (https, shtml).

Was mir an dieser Variante noch nicht gefällt, ist das losgelöste Fenster und wenn man keine Zugangsdaten hat, kommt die keine-zugangsberechtigung-seite.

Gegen das "losgelöste Fenster" kannst Du bei den heute üblichen Browsern noch nichts machen. Dass bei fehlerhafter Beantwortung des Request-Dialogs (3x) mit dem Server "die" keine-Zugangsberechtigung-Seite kommt, kann man im Apachen konfigurieren und für diesen Fehler acuh eine andere (eigene) Seite einbinden. Dazu müsste man aber das Manual von apache.org unter dem Stichwort "htaccess" lesen und verstehen.

Zum anderen habe ich einen Login in php realisiert. Die Logindaten sind in meiner Datenbank gespeichert. Der Status, ob man sich korrekt eingelogt hat, wird mit der Methode POST immer weiter gegeben
(zur Steigerung der Sicherheit habe ich unsinnige Werte versendet, die man nicht errät).

Das ist nicht ganz praktisch, denn was passiert, wenn jemand zwischendurch eine andere Methode verwendet?

Was gibt es für Alternativen? (Vielleicht CGI?)

Sessions mit Cookies oder Sessions mit "Auth401", also demselben Verfahren, das auch .htaccess benutzt. Leider musst Du dir diese Sessionvariante in PHP dann noch selber zusammenschrauben.

Liebe Grüße aus http://www.braunschweig.de

Tom