Mailinglisten-Archive |
On Fri, 18 Jun 1999, Norbert Pfeiffer wrote: >Wie kann man 'unendliche' Versuche mit falschem Passwort >erkennen, also wenn da jemand versucht das zu checken ?? >Nur wenn man derartiges erschwert oder unterbindet macht >ein Passwort ueberhaupt erst einen Sinn... Dazu fällt mir eigentlich auch keine Rechte Lösung ein, aber man sollte einen Benutzer haben, der Änderungen an der Datenbank vornehmen darf (nicht root) und einen anderen, über dessen Account man Abfragen laufen lässt. Das Passwort für den "Abfrageaccount" kann ruhig öffentlich bekannt sein, da dieser mit seinem Account keinen Blödsinn anrichten kann (auch im Hinblick auf die Nutzung mit PHP/Apache). Der Adminaccount sollte nicht genannt werden (weder Name noch Passwort), so dass jemand schon ziemlich lange probieren muss, damit dieser Zugriff erhält. Zur Wahl des Passwortes selbst gibt es aber auch noch einiges zu sagen. Wenn es einen Benutzer "xyz" gibt, dann sollte das Passwort für diesen Benutzer _nicht_ "xyz", <name des Hundes von xyz> oder ähniches sein, sondern eine zufällige Folge von Buchstaben, Ziffern und sonstigen Zeichen und sollte monatlich (je nach zugriffshäufigkeit) gewechselt werden. Eike Lange
php::bar PHP Wiki - Listenarchive