Login-Möglichkeiten auf Internetseite
Hallo,
wir bauen gerade eine Seite auf (Linux, MySQL 5.1.59, Php 5.3.8, Apache 2.2.21). Es soll ein login mit userID und passwd geben. Aber wir möchten noch eine zusätzliche Stufe einbauen, z.B. eine Bindung an einen bestimmten PC. Der User muss eben, ausser mit dem klassichen user-passwort System, auch von einem speziellen PC aus einloggen, sonst soll es nicht funktionieren.
Über MAC Adresse (ist ja nicht schwer zu spoofen)? Über Zertifikate?
Bin über Vorschläge sehr dankbar.
cheers,
neovty
wir bauen gerade eine Seite auf (Linux, MySQL 5.1.59, Php 5.3.8, Apache 2.2.21). Es soll ein login mit userID und passwd geben. Aber wir möchten noch eine zusätzliche Stufe einbauen, z.B. eine Bindung an einen bestimmten PC. Der User muss eben, ausser mit dem klassichen user-passwort System, auch von einem speziellen PC aus einloggen, sonst soll es nicht funktionieren.
Über MAC Adresse (ist ja nicht schwer zu spoofen)? Über Zertifikate?
Bin über Vorschläge sehr dankbar.
cheers,
neovty
Please also mark the comments that contributed to the solution of the article
Content-Key: 188541
Url: https://administrator.de/contentid/188541
Printed on: April 20, 2024 at 02:04 o'clock
4 Comments
Latest comment
Nun - ne MAC-Adresse wirst du im Internet nicht sehen... Bei Zertifikaten ist es möglich, je nachdem wie du dich verbreiten willst... Es gibt da aber noch diverse Ansätze:
a) Du fragst den Provider ab -> damit muss derjenige schonmal vom selben Provider (ggf. noch inkl. regional-informationen) kommen. Nachteil: Bringt wenig, weil grade die regional-infos sich schonmal verändern können.
b) Du hinterlegst beim Anmelden z.B. Browser-Informationen o.ä. mit in der DB. Nachteil: Wenn derjenige seine Browser-Infos verändert (anderer Browser) hängst du wieder hinten dran
c) Du verwendest nen mehrstufiges System. Dabei gehst du erst über nen normales Login und wenn derjenige sich DARAN erstmal authentifiziert hat dann fragst du im nächsten Schritt z.B. über nen Java-Script rechnerspezifische Informationen ab (z.B. Rechnername falls möglich).
d) du möchtest es wirklich sicher haben: Du verwendest sowas wie RSA-Tokens. Dann kann derjenige sich zwar von jedem Rechner aus anmelden - aber mit Kombination aus Username, Passwort UND Token hilft es selbst im Internet-Cafe nicht weiter wenn man die Daten klaut -> der Token is nach 60 Sekunden eh wieder Ungültig...
a) Du fragst den Provider ab -> damit muss derjenige schonmal vom selben Provider (ggf. noch inkl. regional-informationen) kommen. Nachteil: Bringt wenig, weil grade die regional-infos sich schonmal verändern können.
b) Du hinterlegst beim Anmelden z.B. Browser-Informationen o.ä. mit in der DB. Nachteil: Wenn derjenige seine Browser-Infos verändert (anderer Browser) hängst du wieder hinten dran
c) Du verwendest nen mehrstufiges System. Dabei gehst du erst über nen normales Login und wenn derjenige sich DARAN erstmal authentifiziert hat dann fragst du im nächsten Schritt z.B. über nen Java-Script rechnerspezifische Informationen ab (z.B. Rechnername falls möglich).
d) du möchtest es wirklich sicher haben: Du verwendest sowas wie RSA-Tokens. Dann kann derjenige sich zwar von jedem Rechner aus anmelden - aber mit Kombination aus Username, Passwort UND Token hilft es selbst im Internet-Cafe nicht weiter wenn man die Daten klaut -> der Token is nach 60 Sekunden eh wieder Ungültig...
Das mit den Zertifikaten läuft entweder per Smartcard oder per Benutzerzertifikat, mit Computerzertifikaten ist mir dieses noch nicht begegnet.
Willst du die Anmeldung zwangsläufig am Computer festmachen oder willst du einfach nur eine Two-Factor-Authentication haben? Denn hier könntest du wirklich über die Benutzerzertifikate gehen oder wenn es einfacher gehen soll, ein One-Time-Password-System nutzen/einbauen. Hier hat der Benutzer einen Token oder eine OTP-generierende Software, welche er dann in einem weiteren Feld oder Anmeldeschritt mit übermitteln muss. Das Passwort hat dann nur eine Gültigkeit von einer Minute. Alternativ gibts auch die Möglichkeit, was ich fürs VPN nutze, per SMS. Der Benutzer meldet sich am VPN an und im Anmeldeprozess wird ein OTP per SMS verschickt, was der Benutzer dann ebenfalls eingeben muss.
Willst du die Anmeldung zwangsläufig am Computer festmachen oder willst du einfach nur eine Two-Factor-Authentication haben? Denn hier könntest du wirklich über die Benutzerzertifikate gehen oder wenn es einfacher gehen soll, ein One-Time-Password-System nutzen/einbauen. Hier hat der Benutzer einen Token oder eine OTP-generierende Software, welche er dann in einem weiteren Feld oder Anmeldeschritt mit übermitteln muss. Das Passwort hat dann nur eine Gültigkeit von einer Minute. Alternativ gibts auch die Möglichkeit, was ich fürs VPN nutze, per SMS. Der Benutzer meldet sich am VPN an und im Anmeldeprozess wird ein OTP per SMS verschickt, was der Benutzer dann ebenfalls eingeben muss.