Moin,

ich habe passwortgeschützten Bereich in einem Projekt. Nun überlege ich, die Anzahl der Login-Versuche zu begrenzen.

Aber inwiefern ist das überhaupt sinnvoll?

Nicht besonders. Nimm mal an, jemand findet (wodurch auch immer) einen korrekten Usernamen und versucht sich 10mal damit einzuloggen, dann kann derjenige, dem der Name wirklich gehört sich auch nicht mehr einloggen.

Mache ich z.b. einen Unterschied bei Benutzung eines korrekten Usernamens im Gegensatz zu einem nicht korrekten Usernamen, gebe ich eine wertvolle Info raus. Andererseits sind die Usernamen ohnehin weitestgehend bekannt.

Einfach eine Meldung wie z.B. "Benutzername nicht vorhanden oder Passwort falsch" für beide Fälle. Dann weiß der Eindringling schonmal nicht, ob der Username falsch ist, oder das Passwort.

Gibt es Ansätze und/oder Ideen, die sich in der Praxis als günstig herausgestellt haben? Wie vermeidet man, dass Eindringlinge einfach unzählig viele Kombinationen aus User/Passwort ausprobieren, um in den geschützten Bereich zu kommen?

Bin jetzt nicht so der Experte auf dem Gebiet, aber: Das Begrenzen auf IPs anwenden, nicht auf Nutzernamen. D.h. z.B. IP 123.345.456.235 versucht 10mal hintereinander sich mit Fehlerhaften Daten einzuloggen, dann wird sie für ne Stunde oder so gesperrt.

Gruß,
Take