PHP Ausgabe verzögern [Login]

[KuMpEl2]

Hallo,

ich will eine Login Page basteln und wenn jemand das Passwort falsch eingegeben hat, das die Seite um 7 Sek. verzögert wird und nach 3 maligen falschen eingaben gesperrt wird.

wie mache ich das ambesten?

bin für vorschläge offen.

[geloescht_JesterDay]

das die Seite um 7 Sek. verzögert wird

...

sleep(7);

...

[/php]

und nach 3 maligen falschen eingaben gesperrt wird.

Entweder machst du das über einen Cookie, was aber nicht so toll ist und leicht umgangen werden kann, oder du logst dir die IP, von der 3 falsche eingaben gemacht wurden und sperrst es für die.

Da aber bei praktisch allen Providern dyn. IPs verwendet werden, ist es auch nicht schwer, das zu umgehen bzw. im schlechtesten Fall erhält ein anderer Benutzer diese IP, während sie noch gesperrt ist.

Du könntest es also auch für jeden Loginnamen merken und dann für den sperren. Also eine gewisse Zeit.

Falls es jemand anderes war, kannst du dem richtigen Benutzer dann ja einein Link anbieten (also halt generell auf der Seite, die einem mitteilt, das der Login gesperrt ist), mit dem du eine Mail an die im Account angegebene Adresse schickst. In der Mail ist ein Link, mit dem der Benutzer den Account wieder freischalten kann, oder er wartet...

Mal so als Ideen...

[Amstelchen]

wie das beispielsweise bei diversen (ich glaube auch diesem) foren geschieht: bei falscher eingabe von username und passwort ist eine neueingabe der daten - bzw. bei zu häufiger aufrufen einer suchfunktion, die suche für eine minute gesperrt - ich würde da einfach für die entsprechende ip-adresse einen eintrag in eine tabelle machen und die zeit, z.b. "lock_until" dazuspeichern: 29.08.2005 11:54:07 - dann wird der anonyme, aber über ip-adresse identifizierte user bis zu dieser uhrzeit ausgesperrt.

im fachinformatiker-forum ist z.b. der suchmechanismus so konstruiert:

"Entschuldigung, aber Sie können nur alle 10 Sekunden eine neue Suche starten. Sie müssen noch 2 Sekunden warten, bevor Sie eine neue Suche starten können."

der mechanismus, beim 3. fehlerhaften login jemand auszusperren, lässt imho allerdings platz für störenfriede und manipulationen. ein vollkommen fremder könnte so bekannte usernamen durch mehrmalige falsche eingaben einfach leute aussperren.

s'Amstel

[geloescht_JesterDay]

der mechanismus, beim 3. fehlerhaften login jemand auszusperren, lässt imho allerdings platz für störenfriede und manipulationen. ein vollkommen fremder könnte so bekannte usernamen durch mehrmalige falsche eingaben einfach leute aussperren.

Stimmt, da hab ich nicht drangedacht.

Was du aber tun könntest wäre, du verzögerst die Ausgabe bei falscher Eingabe immer mehr. Also bei der ersten 1 sek. (kann ja immer mal vorkommen, dass man sich vertippt), bei der 2. dann z.B. 2 sek, bei der 3. 3 Sek. usw. Wobei die Abstände auch größer sein können.

Damit verhinderst du das einloggen eines Benutzers nicht, wohl aber das PW knacken durch BruteForce. Ab einer bestimmten Laufzeit wird das Skript eh vom Server abgebrochen

Das könntest du dir je Benutzername merken und z.B. alle 24h diese Tabelle zurücksetzen bzw. alle Einträge löschen, die 24h alt sind oder mehr.

[baba007]

ich würde sagen, dass ein Mix aus mehreren Ideen das Richtige ist. Ein Cookie wird mit Sicherheit viele schon mal davon abschrecken etwas hacking zu betreiben.

die jenigen, die wissen was ein cookie ist und mit irgend welchen Bruteforcemodulen seiten knacken wollen, können dann zum beispiel mit variablen zeitabständen rausgeworfen werden.