Hi,
ich bin gerade dran, die Form übergabe mit submit sicherer zu machen.
Ein Schlüssel wird für jeden user, der aktiv ist in Form von Zufallswerten in der Datenbank hinterlassen. Dieser Schlüssel wird etwas modifiziert an den Client gesandt und dort in seinen Ursprungszustang versetzt.
Dann werden den Werten des Schlüssels[ 4088, 8120, 7001', usw
die Werte aus ord($passwort[0]-$passwort[strlen($passwort)-1] hinzuaddiert.
Sobald der xxxx xxxx xxxx usw String ankommt, werden die übermittelten Werte von den Datenbankwerten subtraiert und passwort verglichen und gutgeheissen.
Das klappt alles gut, nur das erste Einloggen zur Anforderung des ersten Key's ist ein Problem.
Und einloogen muss sich der user ja einmal mit benutzername und passwort, welche jedoch nie erscheinen sollten.
Ich dachte schon daran, dem User für das einloogen ein Mail zu schicken, indem der benutzername und passwort schon im Key eingebunden sind.
Hat vielleicht jemand eine Idee?
Die Banken haben jeweils zusätzlich, einmalige sicherheits-kodes, die nur einmal gültig sind, aber das kann ich dem user nicht zumuten.
Gruss Erwin
ich bin gerade dran, die Form übergabe mit submit sicherer zu machen.
Ein Schlüssel wird für jeden user, der aktiv ist in Form von Zufallswerten in der Datenbank hinterlassen. Dieser Schlüssel wird etwas modifiziert an den Client gesandt und dort in seinen Ursprungszustang versetzt.
Dann werden den Werten des Schlüssels[ 4088, 8120, 7001', usw
die Werte aus ord($passwort[0]-$passwort[strlen($passwort)-1] hinzuaddiert.
Sobald der xxxx xxxx xxxx usw String ankommt, werden die übermittelten Werte von den Datenbankwerten subtraiert und passwort verglichen und gutgeheissen.
Das klappt alles gut, nur das erste Einloggen zur Anforderung des ersten Key's ist ein Problem.
Und einloogen muss sich der user ja einmal mit benutzername und passwort, welche jedoch nie erscheinen sollten.
Ich dachte schon daran, dem User für das einloogen ein Mail zu schicken, indem der benutzername und passwort schon im Key eingebunden sind.
Hat vielleicht jemand eine Idee?
Die Banken haben jeweils zusätzlich, einmalige sicherheits-kodes, die nur einmal gültig sind, aber das kann ich dem user nicht zumuten.
Gruss Erwin
