Web-Login sicherer machen

[Crouchi]

Hallo,

ich betreibe einen Webserver. Den habe zuhause gehostet.
Habe eine Dyn-Adresse und die Benutzerverwaltung aktiviert.

Der Webserver beinhaltet "sensibele" Daten, diese sollen ergo also nicht für alle zugänglich sein.

Habe daher jedem Benutzer einen seperaten Login bereitgestellt.

Durch ein paar ehrliche Leute und genaueres rechachieren ist mir aufgefallen, dass ein Lgin weitergegeben worden ist.

Beziehungsweise durch über die Schulter gucken bei einem herausgefunden worden ist.

Meine Frage an dieser stelle ist, wie bekomm ich eine noch sichere weise des Logins hin?

Webserver wäre Apache. Seite benutzt kein php. oder ähnliches.


Habe da an sowas wie User Zertifikate, Token oder ähnliches gedacht.
Desweiteren schwirrt mir sowas ähnliches wie OAuth2.0 vor.

Es geht mir also darum das, selbst wenn die Login Daten irgendwo abgeschaut worden sind, es nicht möglich ist ohne ein extra auf diese Seite zu kommen.
Bedinung ist aber, das das vom Iphone, Android, und normalen Webbrowser weiterhin möglich sein muss.


Grüße
Crouchi

 

[Mojo1987]

Gegen Weitergabe von Zugangsdaten kannst du nur beschränkt was tun... das einzige was du tun könntest wäre die Logins an Geräte zu binden, aber das geht nicht so ohne weiteres mit Boardmitteln...

Ich würd einfach keine Daten rausgeben an Leuten denen du nicht traust. Alles andere ist ein nicht zu unterschätzender Aufwand ohne garantierten Erfolg.

 

[Dered]

Hat jedes Login aktuell Zugriff auf alle Daten?
Und für wen sind diese Daten sensibel?

Fall Nutzer A nur an seine Daten kommt kann es Nutzer B egal sein, wenn A seine Daten weitergibt.

Evtl. ist das noch eine Möglichkeit die Gefährdung zu reduzieren?

 

[Rish1988]

Eine Möglichkeit wäre, dass sobald sich jemand einloggt wird ein Code generiert, dieser wird an die entsprechende E-Mail des Accounts geschickt und nach erfolgreicher Eingabe hat der Nutzer Zugriff auf die Daten.

 

[Mexxim]

Google authenticator per handy, ist aber nicht ganz ohne das einzurichten

 

[AlanK]

Hallo,

ich betreibe einen Webserver. Den habe zuhause gehostet.
Habe eine Dyn-Adresse und die Benutzerverwaltung aktiviert.

Wenn du jetzt deinen Stammbaum hosten möchtest ok, aber wenn Firmenwebseiten oder sonstige Produktivseiten auf deinem "homeserver" laufen, rate ich dir dringend dazu dir ordendlichen Webspace oder am besten einen ordendlichen Root zu mieten.

 

[Daaron]

...und nicht zu vergessen: Wende dich an PROFIS. Die können dir dann auch für deine Situation eine brauchbare Authentifizierung einrichten.

Und nein, gegen weitergegebene oder ausspionierte Zugangsdaten kannst du kaum was machen, außer ne 2-Faktor-Authentifizierung einzurichten. So etwas wird aber sowohl schwierig als auch kostspielig. Viel sinnvoller ist eine rigorose Zugriffskontrolle, so dass jeder nur das sehen/bearbeiten kann, was ihn etwas angeht.

 

[MaverickM]

... ein Code generiert, dieser wird an die entsprechende E-Mail des Accounts geschickt und nach erfolgreicher Eingabe hat der Nutzer Zugriff auf die Daten.

Google authenticator per handy, ...

... außer ne 2-Faktor-Authentifizierung einzurichten.

This.

 

[Daaron]

Wobei eine echte 2-Faktor eben aus 2 Dingen besteht: Etwas das der User (oder Angreifer) kennt (Passwörter) und etwas, das er physisch besitzt (physischer Token, SIM-Karte für SMS, ne TAN-Liste). Erst durch den physischen Faktor ist man sicher, dass ein Keylogger nix erreichen kann.

Man kann natürlich auch tatsächlich über oAuth gehen. Hier wird man zwar das Abhör-Problem nicht los, aber zumindest die Weitergabe ist eher unwahrscheinlich. Wer gibt schon seinen Twitter- oder Facebook-Account weiter?

 

[Crouchi]

Dankeschön für die zahlreichen Antworten.

Hab es jetzt über den Google Authenticator gelöst.

Einfach zum einrichten/benutzen, und erledigt hervorragend das was ich möchte.


Gruß