Sicherheitsrichtlinie für Kundenportale oder Foren (bzgl. Benutzer / PW)

[Neo]

Hallo P3Dler,

kann mir einer sagen ob es eine allgemeingültige Sicherheitsrichtlinie für Internetbenutzer/Passwörter gibt (zB bei Foren).

Worum es mir geht: Bei der Gestaltung eines Kundenportales für einen Kunden kam die Frage nach der Sicherheit beim Login auf. Bei anderen Kunden haben wir bis jetzt immer die Regeln so definiert, das es beim Loginversuch und Sperre keine Unterscheidung zwischen falschem Benutzername oder Passwort gibt. Es werden also nicht existierende Benutzer genau so für 24h gesperrt wir existierende. Hintergrund ist, das so nicht rausgefunden werden kann ob bestimmte Benutzernamen tatsächlich existieren und so gezielt angegriffen werden können.
Nur, gibt es für diese Art der Sicherheit eine definierte Richtlinie (vielleicht ISO, DIN oder was weiß ich...!?)

 

[Neo]

OK, hab da selber was gefunden beim BSI

https://www.bsi.bund.de/DE/Themen/I...utzKataloge/Inhalt/_content/m/m02/m02011.html

Erfolglose Anmeldeversuche sollten mit einer kurzen Fehlermeldung ohne Angabe von näheren Einzelheiten abgelehnt werden. Insbesondere darf bei erfolglosen Anmeldeversuchen nicht erkennbar sein, ob der eingegebene Benutzername oder das eingegebene Passwort (oder beides) falsch ist. Nach fünf aufeinander folgenden fehlerhaften Passworteingaben für dieselbe Kennung sollte das Authentisierungssystem den Zugang hierfür sperren (für eine bestimmte Zeitspanne oder dauerhaft). Die Sperrung einer Kennung darf bei nachfolgenden erfolglosen Anmeldeversuchen ebenfalls nicht erkennbar sein, sondern sollte dem jeweiligen Benutzer auf separatem Weg mitgeteilt werden.

 

[BigRick]

Beim BSI kannst du dir allerhand Infos zu Sicherheit bei Onlineentwicklungen holen. Die stehen auch auf Anfrage mit ein paar Infos bereit können Infomaterial in Papierform mitgeben (zumindest konnte ich auf ner Messe von den ein bisschen sinvolle Lektüre einpacken). 8)

VG