Wie würden Sie ein sicheres Login-Feld auf einer Website mit hohem Datenaufkommen implementieren, bei der die Leistung eine Rolle spielt?

Viele große Websites und Banken haben ihre Anmeldeformulare direkt auf ihrer ungesicherten Homepage abgelegt. Glücklicherweise haben viele (einschließlich der Bank of America – Bankgeschäfte, Kreditkarten, Hypotheken und Investment- und Geschäftsbankgeschäfte ) auf eine sicherere Methode umgestellt, von der wir lernen können. Auch wenn wir mit http auf ihre Homepage gehen, wird diese auf eine https-Seite weitergeleitet. In Kombination mit einem EV-SSL-Zertifikat , das den unverwechselbaren “grünen Balken” anzeigt, ist die Wahrscheinlichkeit eines Man-in-the-Middle- / Phishing-Angriffs praktisch nicht vorhanden.
Grundsätzlich gibt es zwei Möglichkeiten, ein sicheres Anmeldeformular zu erstellen:

  • Erstellen Sie eine separate Anmeldeseite , auf die nur mit https zugegriffen werden kann und die (natürlich) mit https übermittelt wird
  • Erzwingen Sie immer https auf der Homepage und fügen Sie dort das Anmeldeformular ein. Dies macht die Anmeldung bequemer und sicherer, da Benutzer die https-Homepage mit höherer Wahrscheinlichkeit als eine separate Anmeldeseite mit einem Lesezeichen versehen.

Es gibt jetzt verschiedene Alternativen, mit denen Sie Benutzer sicher authentifizieren können, ohne die Arbeit selbst erledigen zu müssen:

  • Facebook verbinden . Praktisch jeder hat ein Facebook-Konto und Facebook hat es Ihnen leicht gemacht, Benutzer mit ihrem Facebook-Benutzernamen und Passwort zu authentifizieren. Die Authentifizierung erfolgt auf der eigenen Website von Facebook (ordnungsgemäß mit SSL gesichert). Dies ist also absolut sicher und bedeutet, dass sich Benutzer nicht nur für Ihre Website einen anderen Benutzernamen und ein anderes Kennwort merken müssen.
  • OpenID . Ähnlich wie bei Facebook Connect können sich Benutzer mit OpenID auf einer anderen Website authentifizieren, und es stehen jetzt viele OpenID-Dienste zur Verfügung, obwohl diese nicht so beliebt sind wie Facebook.
  • Twitter . Twitter bietet auch eine API, mit der sich Ihre Benutzer mit ihrem Twitter-Konto sicher auf ihrer Website anmelden können.

Sie sollten in Betracht ziehen, den Anmeldemechanismus (den Speicher- / Bestätigungsteil) nicht selbst zu implementieren und ihn auf soziale Anmeldeverbindungen (Google, Facebook, …) auszulagern.

Es gibt zwei Methoden
Erstens, um soziale Konnektoren wie Login über Facebook, Google usw. zu verwenden.
Zum anderen werden SSL-Zertifikate für die sichere Anmeldung verwendet.

Durch SSL werden Websites langsamer, aber die Anmeldung wird nur durch SSL gesichert, nicht durch die gesamte Website.