Hallo Forum,

ich denke darüber nach, wie ich das Ausspionieren von Useraccounts am besten verhindern soll.

Dabei ist mein Problem nicht die Vorgehensweise bei korrektem Benutzer und falschem zugehörigen Passwort.

Interessant finde ich die Vorgehensweise bei _nicht_ korrektem Benutzernamen. IP zeitweise für den Login sperren ist nicht ok, weil ich damit anderen (echten) Usern mit derselben IP in die Quere komme.

Ich muß also den Rechner identifizieren, der versucht, Namen/Pass zu erraten. Eine Session ist da auch nicht das Richtige, die ist zu flüchtig.

Bleibt nur still zu ertragen, dass da jemand (egal ob per Hand oder Software) nach Nutzer/Pass sucht oder habt Ihr eine gute Idee?
Dabei geht es mir weniger um die Konsequenzen (Captcha, Zeitsperre, sonstwas) sondern mehr darum, den Fiesling zu erkennen, vor allem wenn er das verhindern will, (wieder)erkannt zu werden.

Gruß, Richard