Speicherung von fehlgeschlagenen Logindaten

Dieses Thema "Speicherung von fehlgeschlagenen Logindaten - Datenschutzrecht" im Forum "Datenschutzrecht" wurde erstellt von axelM, 26. Oktober 2017.

  1. axelM

    axelM Aktives Mitglied 26.10.2017, 18:30

    Registriert seit:
    8. September 2016
    Beiträge:
    139
    Zustimmungen:
    3
    Punkte für Erfolge:
    18
    Geschlecht:
    männlich
    Renommee:
    12
    Keine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhaltenKeine Wertung, axelM hat noch keine 10 Bewertungen von anderen Mitgliedern erhalten
    Speicherung von fehlgeschlagenen Logindaten

    Hallo,
    nehmen wir an für eine Webplattform sollen im Falle eines fehlgeschlagenen logins (falsche User/Passwort Kombination) die übergebenen Daten in einem Logfile gespeichert werden. Dies soll in der Auswertung zeigen, wenn jemand versucht einen Account anzugreifen.
    Nachdem hier ja keine gültigen User/Pass Kombinationen gespeichert würden, wäre das problematisch?
     
  2. onkelotto

    onkelotto V.I.P. 26.10.2017, 21:13

    Registriert seit:
    25. Mai 2005
    Beiträge:
    3.577
    Zustimmungen:
    629
    Punkte für Erfolge:
    113
    Beruf:
    EDV Techniker, Admin
    Ort:
    Hamburg
    Renommee:
    507
    99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)99% positive Bewertungen (3577 Beiträge, 486 Bewertungen)
    Nun ...selbst (mehrere) Fehleingaben lassen Rückschlüsse auf die richtige Kombination zu ( Beispiel: der Login-name ist eine email und jemand tippt @@ )

    Es ist IMHO keine gute Idee die Fehleingaben im Klartext zu speichern.
    Besser ist z.B.
    -- Bei Fehlversuchen eine Email zu senden
    -- Die Fehlversuche zu zählen und nach mehreren eine längere Zwangs-Pause
    einzulegen oder nach jeder Fehleingabe die Wartezeit zu verlängern.

    Fehlversuche im Klartext mit zu loggen ist ungeachtet der rechtlichen Situation
    bedenklich und IMHO unseriös.


    Ich vermute da man sich damit auf dünnes Eis begibt.
    Selbst in der regulären Datenbank sollten Passworte nicht unverschlüsselt liegen - sprich: Der Anbieter sollte am Besten weder die tatsächlichen noch die "falschen" Passworte kennen.
     
    Beth82 gefällt das.
  3. hera

    hera V.I.P. 27.10.2017, 21:41

    Registriert seit:
    15. April 2008
    Beiträge:
    5.173
    Zustimmungen:
    514
    Punkte für Erfolge:
    113
    Renommee:
    540
    97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)97% positive Bewertungen (5173 Beiträge, 530 Bewertungen)
    aus 2 falschen versuchen (tippfehler) lassen sich mit sicherheit mühlos bzw. mit wenig aufwand die richtige kombination ermitteln ...

    es dürfte keinen rechtlichen grund geben, die fehlversuche als text zu speichern .. auch nicht verschlüsselt - es fehlt die zweckbestimmung
     
Ähnliche Themen:
Titel Forum Datum
Rückgabe nach zwei fehlgeschlagenen Reparaturen Aktuelle juristische Diskussionen und Themen 24. September 2013
Speicherung von Fingerabdrücken Verwaltungsrecht / -prozeßrecht 13. Dezember 2011
IP-Speicherung Internetrecht 12. September 2008
ip speicherung Internetrecht 9. März 2007
ÖR: Speicherung von Daten Examensberichte 20. Januar 2005

© 2003-2017 JuraForum.de — Alle Rechte vorbehalten. Keine Vervielfältigung, Verbreitung oder Nutzung für kommerzielle Zwecke.


Sitemap | Kontakt | Datenschutz | AGB | Impressum