Frage von UlliGasse123, 26

Passwort in einem PHP Skript unterbringen (für eine LDAP Abfrage)?

Guten Tag,

ich würde gerne eine LDAP Abfrage über PHP machen. Diese soll/muss extrem sicher passieren. Jetzt stehe ich nur vor einem Problem. Ich muss es irgendwie schaffen einen Nutzer durch zu schleifen, ohne das das Passwort gehackt werden kann. Ich habe mir schon ein paar Ideen gemacht z.B.

-Passwort in Klarschrift im Skript einbringen und dann crypten. Dann einen Benutzer anlegen der mit dem gecrypteten Passwort arbeitet anlegen.

-Für jede Anmeldung einen Cookie speichern. Sodass sich jeder Nutzer einzeln anmelden kann aber halt nur einmal Benutzername und Passwort eingeben muss.

Das war unserem Admin aber alles zu heikel.

Kann mir da bitte jemand helfen.

Danke :)

Hilfreichste Antwort - ausgezeichnet vom Fragesteller
von mm78pr, 14

Ich würde Hash + Salt benutzen , die Daten nicht im Script selbst ablegen sondern in externen Dateien bzw in einer DB.
Die IP mitloggen und mit den vorherigen eines Users abgleichen (Providercheck).
Cookies kann man verwenden aber nur mit einer begrenzen Gültigkeit, zb max 30min.

Im Prinzip sollte man möglichst viele Hürden einbauen die ein Hack erschweren und zeitlich in die Länge ziehen ... damit man notfalls den Hack bemerkt bevor er erfoglreich war.

Antwort
von Odorwyn, 9

Hallo UlliGasse123,

Ansich hat mm78pr schon eine brauchbare Antwort gegeben.

Ob man jedoch einen Providercheck machen möchte halte Ich erstmal für fragwürdig.

Da sind wir wieder beim Lied von Sicherheit vs. Benutzerfreundlichkeit.

Ich für meinen Teil würde das ganze einfach in einem Composit Primary-Key in einer DB speichern (Bestehend aus Benutzername + Pw (Hashed+Salted))

LG

Keine passende Antwort gefunden?

Fragen Sie die Community