alternative Loginmethoden (für Admin-Interface)

fabiopigi

fabiopigi

Aktives Mitglied
Thread Starter
Dabei seit
03.06.2005
Beiträge
2.714
Reaktionspunkte
253
Hi

Ich mache mir immer wieder Gedanken, wie man den Login für Seitenadministratoren leichter machen kann.
Passwörter sind entweder zu leicht, oder so schwer, dass man es einfach Speichert.

Ich habe mir gedacht, für die Administration ein Single Site Browser (Firefox Prism, oder Fluid) zu nutzen.

Dabei wollte ich irgendeine Möglichkeit schaffen, um den Login zu umgehen.

Ideen die mir dabei gekommen sind:
eine Lokale HTML-Datei wo das Login-Formular bereits ausgefüllt ist. Fällt weg, Begründung ist wohl nicht nötig :)

Ne weitere Möglichkeit wäre ebenfalls ein Formular. Mit JS würde eine lokal gespeicherte spezielle Datei zum Server übertragen werden, und wenn die MD5 Checksumme korrekt ist ist der Login angenommen. Problem ist, dass man per JS keine Dateien zum Upload auswählen kann.

Ne Kombination aus beiden versionen:
Eine Lokal gespeicherte HTML Datei mit einem Formular. Eine versteckte Textarea mit einem zB 1024-Zeichen langem Schlüssel der auch auf dem Server gespeichert wird. Bei öffnen der Lokalen Seite wird das Formular automatisch abgeschickt und man wird eingeloggt.


Was für weitere Mögilchkeiten wären Möglich?
 
Sicherheit ist immer aufwendig :)
Wer Sicherheit durch Komfort ersetzt reduziert zeitgleich die Sicherheit! Zudem bindet Deine Methode das Login an einen PC oder zumindest eine portable Authorisierungsquelle, auch das ist wenig komfortabel!
 
Der Single Site Browser soll das ganze nur vereinfachen, indem man ein einzelnes Programm für die Administration hat und nicht ein Lesezeichen aufrufen muss oder ne URL merken.

Die Möglichkeit per normaler Passwort eingabe würde natürlich weiterhin bestehen.
Lediglich die "login.php" (oder welche Datei den login halt erledigt) hat dann eine abfrage mehr zu erledigen ("normaler browser -> Username und Passwort, "SSB" -> MD5-Hash von Textarea).
 
Naja, richtig komfortabel ist das nicht, zudem die URL dann zwingend https als Protokoll haben sollte.

desweiteren...

wenn jemand zugang zum PC hat, und er diesen MD5 hash rausbekommt, ist auch auch "nett".

Wie überträgst du denn diese login.html seite mit dem hash? passwortgeschützt in einem zip, muss der user per Secure FTP diesen runterladen oder wird das einfach mal einem neuen admin bequem per email gesandt.

Deswegen PW NIE irgendwo abspeichern nur im Hirn. Alles andere ist fusch.
 
Nun, der SSB würde ich natürlich selber auf dem Computer von dem Seiteninhaber (respektive von der Seiteninhaberin) installieren.
Da es bei den meisten Fällen bis jetzt nur eine Person ist die die Seite bearbeiten können muss.

Dabei handelt es sich meistens auch eher um "Laien" welche so oder so einfache Passwörter benutzen, oder diese teils sogar mit Post-it an den Monitor kleben.

Eingeloggt wird normal per HTTP, wie es auch sonst bei den üblichen Logins ist (macuser hat auch kein HTTPS login).

Das SSB Programm wird von mir direkt auf dem Computer installiert, das Textarea-Feld wird im klartext an den Server übermittelt. Genau gleich wie wenn man sich bei einer Website anmeldet (vergleichsweise wenige Seiten bieten einen Login per HTTPS an).


Die Login-Datei könne irgendwo auf dem Computer liegen und ganz unschuldig "start.htm" heissen. Die Felder könnten normale Namen haben wie "beschreibung" und das Formularziel (auf dem Server) könnte ebenfalls "start.php" heissen.

Hätte jemand zugriff auf den Computer, ja klar, dann könnte man auch Zugriff auf die Homepage (nur den Adminteil, nicht den Serverteil mit FTP etc) erlangen, aber es gibt meistens spannenderes auf Computern zu finden, als in irgendwelchen .htm-Dateien im zB Windows-Verzeichniss zu schnüffeln. ;)
 
fabiopigi schrieb:
Eingeloggt wird normal per HTTP, wie es auch sonst bei den üblichen Logins ist (macuser hat auch kein HTTPS login).

Genau gleich wie wenn man sich bei einer Website anmeldet (vergleichsweise wenige Seiten bieten einen Login per HTTPS an).
Zum Vergrößern anklicken....

Ja, hier melden sich die User auch als NichtAdmins an und es geht auch bloss um ein Forum, sind ja keine CC infos o.ä. im Spiel. Ich denke, dass die Admins vom Macuser falls sie was per Browser Administrieren sich sehr wohl mit https einloggen. Kommt auch drauf an, was man den admins per browser zur verfügung stellt.


fabiopigi schrieb:
Hätte jemand zugriff auf den Computer, ja klar, dann könnte man auch Zugriff auf die Homepage (nur den Adminteil, nicht den Serverteil mit FTP etc) erlangen, aber es gibt meistens spannenderes auf Computern zu finden, als in irgendwelchen .htm-Dateien im zB Windows-Verzeichniss zu schnüffeln. ;)
Zum Vergrößern anklicken....

so gesehen

EDIT: Hier auch eine kleine Anekdote aus meiner Firma. Kunden möchten ja quasi alles Programmiert haben. Einer unserer "Lieblingskunden" wollte doch tatsächlich, weil er zu faul ist PW einzutragen, dass das PW automatisch ( in **** ) erscheint sobald man seinen Loginnamen eingegeben hat. Als geistreiche idee wollte er, dass das PW gleich ist mit dem loginnamen, damit man nix "mappen" muss.
Wir haben dies natürlich abgelehnt, da wir sonst für nichts garantieren könnten, da jeder sich dann quasi ins System einloggen könnte. Was ich mich gefragt habe... warum er dann überhaupt noch ein PW feld wünschte.
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben Unten