rbs_phoenix

Also ich habe bei verschiedenen Seiten gesehen, dass wenn man sich falsch einloggt, entweder kommt "benutzer oder passwort falsch" oder "benutzername falsch" bzw "passwort falsch".

Gibt es da irgendwelche nach- oder vorteile??

Also quasi der Vorteil bei der 2. Variante ist ja, dass man weiß, was man falsch geschrieben hat. Der Nachteil is aber, dass man als Hacker oder als jemand, der ein Acc knacken will genau weiß, ob es den login-name gibt oder nicht. Wenn dort steht "benutzer ODER pw falsch" dann weiß man ja nicht ob es am benutzername liegt oder nicht bzw ob der überhaupt vorhanden ist oder nicht.

Ich hoffe ihr wisst, was ich meine.

Also was ist besser oder sicherer oder was auch immer??

MFG RBS_Phoenix

__________________
Homepage: http://www.rbs-page.de

Mister Ad

crunk

Benutzername falsch? ^^ Wie kann der falsch sein, entweder er exestiert oder nicht. Wenn er mir sagt, dass eine Eingabe falsch ist, kann es eh nur das Passwort sein. Verstehste?

rbs_phoenix

Ja ich mein doch ne falsche eingabe.. mir ging es darum:

Bei Seite 1 meldet man sich mit nem NICHT EXISTIERENDEN ^^ Benutzernamen an und es kommt diese Meldung:
Wenn man das falsche Passwort eingibt, aber den richtigen Login-Namen, kommt genau das gleiche.

Wann man sich aber bei Seite 2 anmeldet, kommt beim Falsch eingegebenen Benutzernamen:
und bei einem richtigen Benutzernamen aber nicht passendem Passwort kommt dann:

So jetzt aber^^

Einfach nur, was schöner aber auch sicher ist. Ist es wichtiger einem evtl. Hacker nicht zu sagen, dass sein eingegebender Login-Name richtig oder Falsch ist oder gewinnt die Bedienungsfreundlichkeit bzw Übersicht.

__________________
Homepage: http://www.rbs-page.de

myPages

Also

zum einen gibt es ja meistens Seiten auf der Internetpräsenz, wovon ich Nutzernamen erfahren kann (Foren, Impressum, Teams/Squads, etc.).

Das ist für mich als potentieller Hacker ja schon mal kein Problem zu erfahren. Ein eingetragener Site-Administrator wird ja schon mal die Rechte haben, auf die ich scharf bin. Daher ist es eigentlich irrelevant, welche Version du bevorzugst.

Die Lösung mit zwei Varianten der Ausgabe ist aber vermutlich benutzerfreundlicher, da sie den Benutzer auf eventuell aufgetretene Tippfehler (z.B. beim Benutzernamen) hinweist.

Ein Hacker sollte sowieso in einem guten programmierten System eh geringe Chancen haben an Daten ranzukommen - und außerdem: Ein Hacker ist kein Cracker

=> Cracker: die wirklich bösen Jungs, die alles kaputt machen
=> Hacker: bringen sich zwar auch ins System, wollen aber nur auf Sicherheitslücken aufmerksam machen

MfG
myPages

__________________
Man braucht drei Dinge im Leben
die Gelassenheit die Dinge hinzunehmen, die man nicht ändern kann,
den Mut die Sachen zu verändern, die man ändern kann,
und die Weisheit zwischen den beiden zu unterscheiden.

nikosch

Das seh ich etwas anders.
Ich würde immer nur minimale Informationen geben. Also "fehlerhafter Benutzername oder falsches Passwort". Um den User zu unterstützen wird das Eingabefeld mit dem eingegebenen Benutzernamen vorbelegt. So kann visuell eine Kontrolle stattfinden.

Selbst wenn die Nutzernamen öffentlich auszulesen sind muß ich das automatische Bruteforcing ja nicht noch im Loginform unterstützen.

rbs_phoenix

ja schon, aber der benutzername muss ja nicht der Login-name sein. z.b. mit nem extra login name oder emailadresse.

aber eigentlich sollte man es so programmieren, dass es egal ist, wie du schon gesagt hast.. und dazu denke ich mal, wenn er den server oder was auch immer hacken kann, wird er ja wohl n bisl ahnung haben und weiß schon wie er das macht, da is das denke ich mal nich so das problem

__________________
Homepage: http://www.rbs-page.de

tomtaz

Ich würde die Variante: "Benutzername oder Passwort ist fehlerhaft!" bevorzugen, man muss ja nicht unbedingt mehr informationen rausrücken wie nötig...

__________________
Mfg Tomtaz
"Es soll jetzt diese Erfindung geben.... Kugel oder so heißt die. Ist so eine Art Suchmaschine..."

Manko10

Ich würde sogar noch weiter gehen:

agrajag

Es ist doch ein Trugschluss zu sagen es ist sicherer nur "Benutzername oder Passwort flasch." als Fehlermeldung auszugeben, statt einer genauen Meldung was falsch lief.... Jedenfalsls in den alller meisten Fällen, denn:
Bei der Anmeldung/Registrierung wird sowieso meist überprüft ob ein Benutzername schon existiert - da krieg ich's also aufjedenfall raus...

__________________
Today you...Tomorrow me.

nikosch

Was hat das eine mit dem anderen zu tun? Es geht um falsch geschriebene Nutzernamen...