Hallo Felix,

In vielen Systemen werden Anmelde- und Benutzername gleichgesetzt. Ralf führt aus, dass das eine Securityschwäche ist. Damit hat er recht.

Bei carcassonne-online hatten wir ein phpBB-Forum mit öffentlicher Mitgliederliste. Die hat ein Hacker abgegriffen und dann mit einer Passwort-DB Passworte durchprobiert. Wir hatten einen Mod drin, der nach 3 Fehlversuchen den User sperrt, d.h. die Leute fingen an zu maulen, dass sie ständig gegen Login blockiert wären und einen Passwort-Reset anfordern müssten. Das Hackerscript war dumm und hat einfach blind auf die login-Seite POSTs abgesetzt, so konnten wir es mit einem einfachen Einmaltoken aushebeln, aber das Problem ist genau da: Wenn die Namen der Benutzer, die ich im System sehe, auch die Anmeldeschlüssel sind, kann ich anfangen, gezielt Passworte zu raten. Kenne ich die Anmeldeschlüssel nicht, muss ich beides raten.

Die Frage ist nur: Wie schwach ist die Schwäche. Für welche Systeme ist eine Trennung von User- und Loginname eine notwendige Anforderung? Für mein Onlinebanking: Definitiv. Da sind die Login-Begriffe so stark eingeschränkt, dass es eine Schande ist. Für unser Forum hier? Och nö… Für mein Windows zu Hause: Besser wär's, aber der merkt sich ja sogar meinen letzten Loginname. Das tut das Windows im Büro immerhin nicht, aber Windows setzt Username und Loginname gleich, d.h. ich finde im Taskmanager eines Servers oder in Änderungshistorien genügend Loginnamen. Schlau ist es nicht unbedingt…

Rolf