Hallo zusammen,
zur Zeit Programmiere ich ein Backend für unsere Vereins-Website. Neben der Aufgabe, das Frontend auf dem Laufenden zu halten, möchte ich dort auch einige Vereinsinterne Vorgänge vereinbaren. Dazu zählt auch die Rechnungsstellung -verwaltung, Mitgliedsverwaltung usw..

Da wir ja hier nun über sensible Daten sprechen, mache ich mir natürlich Gedanken über die Sicherheit. Vernünftiges Coden ist hier natürlich angebracht, so weit klar.

Allerdings mache ich mir jetzt noch Gedanken zum Thema Brute-Force-Attaken und Sicherheit der Passwörter. Wie würdet ihr Euch hiergegen absichern? Meine Ansätze waren:

1. IP-Sperre bei zu vielen LogIn versuchen
2. zusätzliche TAN-Liste zum einloggen
3. Ein Kreuzliste, wie sie z.B. bei Schufa-Online gefragt ist

Krteuzliste Beispiel:

A | B | C | D | E
1|5 | 6 | 0 | 1 | 8
2|7 | 7 | 6 | 2 | 9

Der jeweilige User würde nun eine Liste mit "seinen" Nummern bekommen (es handelt sich um höchstens 5 User, also der Aufwand überschaubar) und müsste nun beim einloggen zusätzlich zufällige Werte eingeben, wie zum Beispiel A2 C2 E1

(Hoffe meine Erklärung war nicht zu verwirrend).

Was haltet Ihr von den Ansätzen, was würdet ihr empfehlen?

Euer für jeden Rat dankbarer Olli