Passwort-Links: Verhindern von Bruteforce
Da Passwort-Links aktuell mit einem "einfachen" Zahlen-PIN geschützt sind, sind sie natürlich anfällig für Bruteforce-Attacken.
Einfacher Sicherungsmechanismus:
- Nach 3-maliger falscher Eingabe wird der Passwort-Link gesperrt
- IP / Uhrzeit des Session-Benutzers werden geloggt
- Der Ersteller des Passwort-Links erhält eine E-Mail mit einem speziellen Link, um den Passwort-Link wieder zu entsperren oder direkt zu löschen (muss dann manuell neu erstellt werden)
Nachteile wären:
- Kommt jemand irgendwie an viele Passwort-Links, könnte er durch Bruteforce-Spam alles absichtlich sperren (was aber eher unrealistisch wäre)
@Panni Was hältst du, als neuer designierter Security-Experte von dieser Idee? ;)