Aus gegebenen Anlass hätte ich folgenden Vorschlag:

Es wird immer wieder vorkommen, dass versucht wird, sich manuell via Bruteforce unberechtigt als Admin in fremde Foren einzuloggen.

Dank Catpcha werden die Versuche weitgehend manuell bleiben.

Um die eigene Passwortstabilität und die Boardsicherheit überprüfen zu können, würde ich mir wünschen, dass speziell für den Board-Admin eine automatisch-generierte Hinweismitteilung erzeugt wird, sobald fehlgeschlagene Admin-Loginversuche stattfanden. Darin enthalten sollten Datum, Uhrzeit, IP-Adresse und das falsch eingegebenes Passwort enthalten sein.
z.B.:

Hinweis,
am 05.05.2010 um 10:23 wurde von der IP-Adresse 192.168.0.1 versucht, mit dem Passwort schnibbel Zugang zu Ihrem Admin-Account zu erhalten.


...oder als Protokoll:

|   Datum    |   Zeit  |   IP-Adresse  |   Passwort   |
| 05.05.2010 |  10:23  |  192.168.0.1  |   schnibbel  |

Das ist eine sehr gute Idee, truecolor!

Ja, eine sehr gute Idee! Prinzipiell sollte diese Möglichkeit sogar jedem registrierten Benutzer zur Verfügung stehen! D.h. jeder Benutzer sollte über fehlgeschlagene Login-Versuche für seinen Account informiert werden, sofern er dies möchte. Hierzu könnte dem Benutzer z.B. eine PM (private Mail) oder besser noch eine echte eMail (jeder Benutzer hat ja bei seiner Registrierung eine eMail-Adresse angegeben) mit den relevanten Informationen (IP, etc.) zugesandt werden!

Mir persönlich würde beim Einloggen auf meine Seite eine kleine Signalisierung (wie das grüne Kreuz bei neuer PM) schon genügen (siehe Anhang)

Mail (?) klar, gute Idee ... wer´s will. Dadurch kann man auch reagieren, wenn man nicht auf der Seite ist, dafür aber 24/7 email-Empfang hat.

Dafür, da ich schon mal irgendwie gehackt wurde (zu leichtes PW) und das ziemlich unschön war.

und mit ip log mit dazu

Eventuell könnte man das mit einer Anzeige über die Sicherheit des verwendeten Passworts verbinden und eine Warnung anzeigen, wenn dieses zu unsicher ist. Ich werde nächste Woche dazu ein Gespräch zu Realisierbarkeit anregen und mich wieder melden.

Zitat von gustav

---

Eventuell könnte man das mit einer Anzeige über die Sicherheit des verwendeten Passworts verbinden und eine Warnung anzeigen,
wenn dieses zu unsicher ist.

---

Wer entscheidet denn über sicher oder unsicher? Dies, so finde ich, sollte man jedem selbst überlassen können.

Man könnte prüfen, ob und wieviele verschiedene Zeichen (und wieviele Zahlen, Buchstaben und Groß- wie Kleinschreibung) sich darin befinden oder ob einfach der Vorname / Nachname oder der Wohnort verwendet wurde...

Ich finde die Idee gut. Und auch dieses:

Zitat von gustav

---

Man könnte prüfen, ob und wieviele verschiedene Zeichen (und wieviele Zahlen, Buchstaben und Groß- wie Kleinschreibung) sich darin befinden oder ob einfach der Vorname / Nachname oder der Wohnort verwendet wurde...

---

Genau wie Gustav es hier schreibt, wird es auch weltweit in der IT-Branche gemacht.
Keine Firma die ich kenne, verzichtet auf so eine Sicherheitseinschätzung von Passwörtern.
Unsichere Passwörter werden in unserer Firma gar nicht vom System anerkannt.

Eine Prüfung der Sicherheit des verwendeten Passworts fände ich auch gut! Wenn dies realisiert werden sollte, sollte gleichzeitig aber auch die maximale Passwortlänge von 8 auf 16 Zeichen (mindestens) verdoppelt werden! Im Moment werden nur die ersten 8 Zeichen des Passworts geprüft.

Ich habe nun dazu ein Ticket mit der Referenznummer #473 aufgenommen. Wir werden das also nun diskutieren und uns mit einer Einschätzung erneut melden.

Klingt super!

Zitat von gustav

---

Ich habe nun dazu ein Ticket mit der Referenznummer #473 aufgenommen. Wir werden das also nun diskutieren und uns mit einer Einschätzung erneut melden.

---

Danke.