Peter Götz
@lisihocke Mein Kollege @mydalon und ich schreiben gerade eine kleine Webanwendung und brauchen auf die Möglihchkeit, Nutzer zu registrieren und zu authentifizieren. Auf was sollten wir achten, wenn wir selbst die E-Mail Adressen und Einmalpasswörter speichern und zur Anmeldung nutzen wollen? Oder ist das eine sehr schlechte Idee und was wäre die Alternative? Vielen Dank!
#security
Mar 9 at 2:30pmWeb
Show threadLisi Hocke3d ago
@pgoetz @mydalon
Das kommt ganz auf euren Kontext an :) Daher hier nur ganz generelle erste Gedanken. Ich würde euch empfehlen, euch mit den OWASP Ressourcen vertraut zu machen, angefangen mit dem Authentication Cheat Sheet: https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html Was hier ebenfalls eine große Rolle spielt ist der Datenschutz von persönlichen Daten (Emailadressen sind PII) und die damit verbundenen Pflichten bei der Abfrage, Übertragung, Prozessierung, Speicherung und Bericht an die Behörden bei Breach/Leak.
Authentication - OWASP Cheat Sheet Series

Website with the collection of all the cheat sheets of the project.

Show threadLisi Hocke3d ago
@pgoetz @mydalon Prinzipiell rate ich euch ein Threat Model für eure Anwendung bzw. deren Konzept zu erstellen um in eurem Team gemeinsam im Kontext zu überlegen was alles schiefgehen und das Ganze gefährden könnte und was ihr jeweils dagegen tun wollt. https://owasp.org/www-community/Threat_Modeling
Threat Modeling | OWASP Foundation

Threat Modeling on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.

Show threadPeter Götz3d ago
@lisihocke @mydalon Vielen Dank für Deine Tipps! Mit OWASP habe ich mich eh zu lange schon nicht mehr beschäftigt. Die Cheat Sheet Series ist (für mich auf jeden Fall) neu. Ich freu mich!