Skip to content

4. Best Practice Prevent Authentication misstakes

Zusammenfassung: Schutz deiner eigenen Authentifizierung

  1. Schütze Anmeldedaten konsequent

    • Vermeide, dass Login-Daten über unverschlüsselte Verbindungen gesendet werden (immer HTTPS erzwingen).
    • Sorge dafür, dass Benutzername oder E-Mail nicht versehentlich offengelegt werden – weder öffentlich sichtbar noch in HTTP-Antworten reflektiert.

  2. Verlasse dich nicht auf Nutzer für Sicherheit

    • Nutzer neigen dazu, Komfort über Sicherheit zu wählen. Daher musst du sichere Vorgaben durchsetzen, z. B. eine starke Passwortpolitik.
    • Ein Passwort-Checker, der in Echtzeit Feedback zur Qualität gibt, ist oft effektiver als starre Regeln.

  3. Benutzername-Enthüllung verhindern (Username Enumeration)

    • Zeige bei Login-Fehlern keinen Hinweis, ob der Benutzername existiert oder nicht – gleiche Fehlermeldung für beide Fälle.
    • Gleicher HTTP Statuscode & ähnliche Antwortzeiten, um Rückschlüsse zu erschweren.

  4. Robuste Brute-Force-Schutzmaßnahmen einführen

    • Rate Limiting (z. B. pro IP, pro Benutzer) & Account Lockout nach mehreren falschen Anmeldeversuchen. Dieses schützt gegen automatisierte Kennwort-Erraterei. OWASP Cheat Sheet Series+1
    • Nutzung von CAPTCHAs, wenn eine bestimmte Fehlversuchsrate erreicht wird. Ebenso Verzögerungen oder Sperrzeiten nach mehreren Fehlversuchen.

  5. Verifikation/Validierungslogik (Check-Mechanismen) mehrfach absichern

    • Überprüfung, dass alle Bedingungen korrekt geprüft werden – z. B. Tokenprüfung, Rechteprüfung.
    • Kein Schritt darf ausgelassen werden, denn eine Logiklücke kann die gesamte Absicherung zunichte machen.

  6. Auch Zusatzfunktionen sicher gestalten

    • Passwort zurücksetzen, Passwort ändern, Konto löschen etc. sind genauso kritisch wie Login.
    • Diese Funktionen bieten oft Angriffsfläche, wenn man sie vernachlässigt.

  7. Multi-Faktor-Authentifizierung (MFA) nutzen, wenn möglich

    • Ein zusätzlicher Faktor neben dem Passwort (z. B. App, Hardware-Token) reduziert deutlich das Risiko. OWASP Cheat Sheet Series
    • Vermeide als alleinigen „zweiten Faktor“ Dinge wie SMS oder E-Mail Codes, wenn sie leicht abgefangen werden können.
    • Achte darauf, dass auch die 2FA-Logik sauber funktioniert und nicht einfach umgangen werden kann.