Es kommt auch immer darauf an was man mit dem Login auch konkret schützen will. Dementsprechend machen manche Sicherheitsfeatures mehr oder weniger sinn.
Eingeloggter Nutzer an zusätzlichen Kriterien "binden" (z. B. IP und / oder User Agent)
Je nach Fall zusätzliche Beschränkungen (eine aktive Sitzung des Nutzers, Sitzungsdauer, auf Plausibilität prüfen z. B. vor 10 Minuten in Deutschland eingeloggt und 10 Minuten später mit einer chinesischen IP)
Brute-Force Schutz
Je nach Situation evtl. Honeypot
Rollen- / Rechtesystem
2-Faktor-Authentifizierung
Keine offensichtlichen "Sicherheitsfragen" die selbst Personen aus dem nahen Umfeld beantworten können.
Passwort abfrage vor Änderung der Profildaten - bei geänderter E-Mail evtl. einen Bestätigungs-Link an die vorherige Adresse senden
Logs
Natürlich sollte man auch die allgemeinen Sicherheitskriterien berücksichtigen (Session Hijacking, SQL-Injection etc.), eine gute Quelle hierfür ist die OWASP.
Auch sollte man die Passwort "zurücksetzen" Funktion vernünftig umsetzen. So empfinde ich es immer als fahrlässig das bei vielen Seiten / Anwendungen direkt nach außen hin kommuniziert wird, ob es einen Nutzer mit der jeweiligen E-Mail vorhanden ist oder nicht.
Danke für deine sehr hilfreiche Antwort 🙂 Xavier – PHP Login Script & User Management Kennt das jemand ? Lohnt es sich? Kann die Schriftgröße per tablet nicht ändern ^^sry
Kennt hier denn niemand ein gutes user management system, was man leicht anpassen kann? php foren, vms usw und beispiele aus github sind zwar schön, aber vieles ist veraltet und mir macht das als Laie echt Probleme ohne Ende 😆
klar sollte man als Laie sowieso die Finger davon lassen, aber andere bekommen da ja auch hin mit cms systemen.
Kennt ihr ein gutes, leicht anpassbares, was auch regelmäßig aktualisiert wird?
Es gibt Frameworks die das Problem schon von Haus aus lösen (z. B. Laravel), oder gute Erweiterungen für ein RBAC anbieten. Auch sind CMS / CMF wie ProcessWire oder ModX jenach vorhaben ideal - bei all diesen Lösungen erfolgen auch regelmäßige Updates und eine unterstützende Community steht ebenfalls dahinter.
Aber jenachdem was man unter "Laie" versteht (programmierst du noch prozedural oder beherrscht du schon die OOP?), würde dich das auch nur bedingt weiterbringen.
Daher mal anders gefragt:
Was ist denn konkret dein Problem oder wozu hast du im Detail fragen?
Soll für einen Paid4 Bereich dienen. Hab mir jetzt aber einiges zusammengesucht und bastel mir selbst was zusammen.
Mir ging es hauptsächlich um "updates" mit einem cms, neue Optionen, Kontrollmöglichkeiten usw. , damit ich nicht ständig selbst umschreiben oder dazu setzen muss und eben für die Sicherheit.
Da ich etwas zum Spaß und zum Lernen Programmiere, war mir das zu viel selbst etwas zu basteln, daher hab ich mir die angebotenen Skripte noch mal angeschaut und kann UserSpice sehr weiterempfehlen.
Ich denke simpler geht es gar nicht, nur leider nicht so umfangreich. Wird aber aktuell weiterentwickelt und es stehen regelmäßig Updates zur Verfügung.