Sicherstes Loginverfahren

[e.motion]

Hi!
Welches Loginverfahren ist den für ein Kundenlogin am besten geeignet bzw. am sichersten?
Ich würde sagen Cookies fallen schonmal weg.

Was ist mit Sessons, WWW-Authentifizierung oder .htaccess obwohl ih glaub das sich .htacces nicht besonders gur für ein webinterface eignet?

MfG e.motion

 

[JohannesR]

.htaccess ist natürlich sehr sicher, und verwendbar ist es auch. In einer $_SERVER-Variable werden User & Passwort gespeichert, also kannst du einen entsprechenden header senden, dann z.B. in einer mySQL/mySQL/Oracle-Datenbank nach der entsprechenden User/Passwort-Kombi suchen und im erfolgsfall eine Session registrieren, wenn es nicht passt sendest du halt einen 403-Forbidden-Header.

 

[Wolfsbein]

Das sicherste Verfahren läuft über SSL. Und dann am besten noch mit Einmal-Passwörtern, so wie es manche Banken machen.
Ohne SSL wird das Passwort immer im Klartext übertragen. Aber mit .htaccess oder PHP/DB bist du schon relativ gut dran, falls das Passwort keiner abfängt.
Um eine Bruteforceattacke zu verhindern, solltest du einen User nach ca. drei falschen PW-Eingaben sperren und ihm per E-Mail ein neues PW zukommen lassen.

 

[e.motion]

OK danke.
Hab noch paar Fragen
Gibt es Tutorials zu SSL? Ich habe damit leider noch nie gearbeitet.
Ist SSL eigentlich kostenpflichtig?
Wo bekomm ich SSL her?

Wie funktioniert es mit einmalpasswörter? Bekommt der Kunde jedesmal wenn er sich einloggen will per Email ein neues Passwort zugeschickt?

MfG e.motion

 

[JohannesR]

Mit SSL musst du eigentlich nichts machen, das macht dein Provider.
Auf eFactory.de findest du ein Tutorial um einen Linux-Apache2 mit SSL einzurichten, das wird dir aber wohl nichts bringen. Beachte lieber die anderen Hinweise von Wolfsbein, dann bist du schon gut dabei.

PS: Die einmal-Passwörter nennen sich bei der Sparkasse TANs, TransAktionsNummern.

 

[e.motion]

OK Vielen Dank.
Ich werde es dann wahrscheinlich über WWW-Authentifizierung in Verbindung mit MySQL machen.

 

[loki2002]

Leider wurden die $_SERVER variablen in PHP 4.3 unbrauchbar gemacht.. d.h es funktioniert "nur" noch $_SERVER["REMOTE_USER"] ...

aber so gibt es dem ganzen halt mehr sicherheit

 

[JohannesR]

Original geschrieben von loki2002
Leider wurden die $_SERVER variablen in PHP 4.3 unbrauchbar gemacht.. d.h es funktioniert "nur" noch $_SERVER["REMOTE_USER"] ...

aber so gibt es dem ganzen halt mehr sicherheit

Nur wenn man eine "echte" .htaccess verwendet oder auch wenn man einen entsprechenden header sendet?

 

[loki2002]

$_SERVER["PHP_AUTH_USER"] und $_SERVER["PHP_AUTH_PW"] sind generell ab version 4.3 nicht mehr gueltig/aktiviert .. nur noch $_SERVER["REMOTE_USER"] funktioniert.

zumindestens ist mir nichts anderes bekannt...

 

[e.motion]

Wie kann ich dann bei der WWW-Authentifizierung auf die Variablen für User und Pw zugreifen?
Ist $_SERVER["REMOTE_USER"] == $_SERVER["PHP_AUTH_USER"] ?
Wenn ja wie kann ich dann auf das eingegeben Pw zugreifen?

Sry hab davon noch net so viel Ahnung.

MfG e.motion