Erhöhte Sicherheit beim Login

Ice-Tea

Bekanntes Mitglied
Hallo zusammen,
erst mal vorab:
Es geht mir bei meiner folgenden Frage nicht um eine Umsetzungshilfe (also Programmierhilfe), sodern vielmehr darum ob es überhaupt Sinnvoll ist und ein erhöhtes Maß an Sicherheit bietet.

Zu der Sachlage:
Derzeit erstelle ich meine Internetseite neu. Umgesetzt wird dies mit einem Glassfish-Server und einer Enterprise-Application um weitere Services, welche derzeit in verschiede Systeme ausgelagert sind, zusammenzuführen.
Das Frontend wird mit JSF umgesetzt, das Backend jedoch wird als App-Client umgesetzt.
Konkret geht es jetzt um folgendes:
Vor dem Start des App-Clients wird (im App-Client) Benutzer-Name, Email und Password geprüft.
Wärenddessen werden die letzten 3 stellen vom Unix-Timestamp anhaltend aktualisiert und dem Benutzer angezeigt (also ein durchlauf von 000 bis 999). Zeitgeber ist die Uhr des Clients.
Beim klick auf "absenden" wird geprüft ob Benutzername, Email und Passwort übereinstimmen und der Aktuelle Zeitstempel festgehalten. Die letzten 3 Stellen werden mit den Benutzerdaten zum Server übertragen.
Der App-Client startet daraufhin einen Browser, übergibt die Session und zeigt durch eine seperate WAR ein Eingabefeld an, in dem der Benutzer die ihm angezeite 3-stellige Zifferkobination aus dem Client einzugeben hat.
Nach Bestätigung bzw. erneutes senden der Zifferkombination im Browser schließt sich folglich das Browserfenster wieder und der Appclient hat grünes Licht zum "durchstarten"


Nun ist die Frage ob das Sinnvoll ist, einfach nur mehr aufwand macht oder tatsächlichen nutzen in bezug auf Sicherheit hat.
Immerhin dürfte einem Angreifer die Clientseitige Zeitgebung unbekannt sein.
Durch den automatischen Aufruf des Browsers durch den App-Client würde ein angreifer jedoch auch auch an die Ziffernkombination kommen, welche ihm eigentlich vorbehalten werden soll.
Und ein manueller Aufruf fällt wegen der Sessionübergabe schwer.

Macht es überhaupt sinn so vorzugehen?
Das gleiche Konzept, jedoch mit dem zusenden der Ziffernkobination per SMS wäre wohl sinnvoller. Aber mir sind entsprechende Services zum zusenden einer SMS biher nicht wirklich bekannt.
Und da das eigentliche Projekt auf einem Online-Server läuft müsste ich zwangsweise erst eine Verbindung in meine eigenen Serverräume einbauen um z.B. eine noch vorhandene Fritz.Card zum versenden von SMS zu nutzen. Und auch da bin ich mir nicht mehr sicher ob solche Services in Zeiten von IP-Telefoni über vorgande "Telefonverbindungen" überhaupt noch möglich sind.

In wie weit ist die Umsetzung Sinnvoll, bzw. welche anderen Möglichkeiten habe ich dem Benutzer die Zifferkombination bestätigen zu lassen?
 

buggy84

Bekanntes Mitglied
Du möchtest die Sicherheit erhöhen, indem Du eine Ziffernkombination im Klartext anzeigst, die man später im Browser dann nochmal händisch eintragen kann?
Für mehr Sicherheit brauchst Du ein weiteres Geheimnis. Du hast schon 3 Geheimnisse: Username, Email, Passwort. Das ist schonmal ein Geheimnis mehr als Amazon hat :)

Du könntest die Zifernkombination per Email senden, dann muss ein potenzieller Angreifer auch das Emailkonto des Betroffenen kompromittieren. Das wird nochmal schwerer. Geht aber dann auch auf die Nutzbarkeit, weil Emails ja nicht unbedingt immer schnell ankommen.

Das mit der SMS ist ja bekannt vom Onlinebanking und Paypal, ich empfinde das als eines der höhsten Sicherheitsaspekte. Aber da geht's ja auch um Geld. Ich weiß ja nicht, was du Ultra-Geheimes machst, dass Email und Passwort nicht sicher genug ist.

Meiner Meinung nach ist dein Ansatz nur mehr Aufwand, der mögliche Hacker wird maximal grinsen.
 
Ähnliche Java Themen
  Titel Forum Antworten Datum
D Sicherheit in JEE Applicationen Allgemeines EE 12
J Sicherheit von Servlets Allgemeines EE 3
D Hilfe beim Quartz Scheduler Allgemeines EE 11
D Probleme beim Umstieg auf Jakarta EE Allgemeines EE 5
K Konfiguration beim AppServer Allgemeines EE 4
A JPA Fehler beim JPA-Projekt Allgemeines EE 12
M Servlet Fehler beim Start der Serveranwendung Allgemeines EE 3
B @Startup - FileWatcher - Probleme beim Hochfahren des Servers Allgemeines EE 4
S MessageDrivenBean Problem beim Zugriff auf Stateful EJB Allgemeines EE 2
S OpenJPA-Exception beim Tomee Allgemeines EE 0
B Problem beim Lesen des Codes... Allgemeines EE 2
R JPA Problem beim Speichern eines Users Allgemeines EE 2
D Jboss löscht Archiv nicht beim Redeployed Allgemeines EE 3
Fu3L Probleme beim Einrichten Allgemeines EE 3
B Cookie beim erstem Zugriff auf Web-App ablegen Allgemeines EE 3
J Fehler beim deployen von seam 2.2.2-Projekt Allgemeines EE 9
B Problem beim einbinden einer CSS in eine JSP Allgemeines EE 8
S Eclipse: Teilmodule beim Testen werden nicht gestartet Allgemeines EE 2
S Embedded JBoss Problem beim Deployment Allgemeines EE 4
H fehler beim deployen von ear file Allgemeines EE 2
G Exception beim versenden einer Mail Allgemeines EE 3
A Tomcat, Exceptions beim redeploy Allgemeines EE 4
H GWT Problem beim Ausführen Allgemeines EE 8
E Performance-Problem beim ersten Request Allgemeines EE 4
MQue URL im Brower beim Starten der Anwendung richtig setzen Allgemeines EE 4
M J2EE beim SCJA Allgemeines EE 4
M JSP: Tomcat: Serverfehler 500 nur beim IE. Allgemeines EE 2
M Absturz beim Einbinden des PostgreSQL-Treibers Allgemeines EE 4
K BatchUpdateException beim schreiben in DB Allgemeines EE 12
M EJB Löschen von DB-Daten beim Deployen verhindern Allgemeines EE 2
M tomcat beim booten mit starten Allgemeines EE 4
G JBoss nutzt beim starten ständig das Root.war Allgemeines EE 12
B Fehlermeldung beim ausführen des Clients // Need Help Allgemeines EE 2
P jar-File aus war-File beim Deploy automatisch entpacken Allgemeines EE 2
M servlet --> jsp - problem beim umstrukturieren Allgemeines EE 5
T Probleme beim Einsatz von J2EE / JBoss Allgemeines EE 4
F Wie Heapsize beim Tomcat erhöhen? Allgemeines EE 3
G suche Hilfe beim TreeView Servlet Allgemeines EE 8
A Problem / Fehler beim Einbinden einer Klasse in ein JSP Allgemeines EE 20
N Wie heisst das was der Client beim Http Server anfragt? Allgemeines EE 6
F richtige vorgehensweise beim logout Allgemeines EE 6
F Fehlermeldung beim redirect in der JSP Allgemeines EE 4
F Package beim Cookie-setzten über BEAN nicht gefunden Allgemeines EE 4
T Design/Performance-Frage beim servlet (static oder nicht) Allgemeines EE 35
F Fehler beim deployen von jsp und servlet Allgemeines EE 7
M NetBeans 5.5 installiert und schon hängt was beim Deployen Allgemeines EE 5
G Servlet beim Absenden eines Formulars aufrufen Allgemeines EE 11
M Probleme beim Performancetuning des Servlets Allgemeines EE 2
T Änderung des Wertes einer Variable beim Klick auf Link Allgemeines EE 7
K [Sun AppServer 8.1] Fehler beim deployen Allgemeines EE 12
FsMarine Probleme beim ausführen von JSP dateien unter Tomcat Allgemeines EE 4
M Probleme beim Webservice Deployment(Sun ApplicationServer) Allgemeines EE 2
B Problem beim Deployen auf Sun AS 8.1 Allgemeines EE 12
R Problem beim hochladen einer Web Application Allgemeines EE 16
H Problem beim Umstieg von 1.3 auf 1.4 Allgemeines EE 5

Ähnliche Java Themen

Neue Themen


Oben