[Idee] Login per IP

[Malte]

Da ich mir grade ein paar Gedanken zum Login auf Webseiten von Minecraftserver gemacht habe kam mir die Idee auf dem Server ein Plugin zu installieren, welches, beim Login, die UUID und IP des Nutzers in einer Datenbank speichert, sodass diese dann vom Webserver ausgelesen werden kann und dann, wenn die IP in der Datenbank vorhanden ist, der Nutzer automatisch eingeloggt wird.
Dabei wollte ich von euch einfach mal wissen, was ihr von dieser Idee haltet und ob ihr dabei irgendwelche Probleme seht, welche man bei der Umsetzung dieser Idee beachten sollte.

Probleme die mir bereits aufgefallen sind (inklusive Lösung):

• Datenschutz (IP ist Personenbezogen)
  • statt der IP nur die per Hashverfahren verschlüsselte IP speichern

• regelmäßige IP Änderungen
  • nur IPs nutzen mit denen in den letzten 3? Tagen jemand auf dem Server war (also ältere Einträge löschen)
  • IPs bei jedem Login überschreiben

• Multiaccounts
  • eine Auswahl zwischen den Accounts auf der Webseite einbauen

Mit freundlichen Grüßen
Malte

 

[Mario52]

Ein weiteres Problem wären Personen im gleichen Netzwerk. Wenn in einem Haushalt z.B. mehrere Personen die gleiche Website aufrufen ist es für alle möglich, sich anzumelden, ohne ein Passwort eingeben zu müssen, da alle Personen die gleiche IP haben. Das ist schlecht für den Benutzer und gut für den nervigen Gast, der aus Spaß deine Einstellungen auf der Website ändern will.

So ein System ist außerdem sehr unsicher, da jeder im Netzwerk unbegrenzten Zugang hätte.

Pinzipiell ist dieses System gut, aber ein Passwort wäre trotzdem von Vorteil.

 

[MrPyro13]

Ein weiteres Problem wären Personen im gleichen Netzwerk. Wenn in einem Haushalt z.B. mehrere Personen die gleiche Website aufrufen ist es für alle möglich, sich anzumelden, ohne ein Passwort eingeben zu müssen, da alle Personen die gleiche IP haben.

Jeder Rechner hat seine eigene IP Adresse.

 

[|| xX [DEV][LP] Ms. DivaCraft Xx ||]

Jeder Rechner hat seine eigene IP Adresse.

Intern mag das ja stimmen, aber das was hier gemeint ist, ist definitiv anders, daher ist diese Aussage falsch. Alle Anfragen laufen über den Router, es kann sogar sein, dass ganze Häuserketten, die über einen Anbieter laufen, die gleiche IP besitzen.

Edit: Ein IP basierter Login ist nicht sicher und auch nicht sinnig. Dann lieber in den Cookies ein Sicherheitstoken speichern (siehe Steam)

 

[Baba43]

Ein weiteres Problem wären Personen im gleichen Netzwerk.

Korrekt. Und dabei denke ich nicht einmal an Haushalte, wo man seinen Mitmenschen ja noch vertrauen könnte, sondern an öffentliche Orte wie Schulen, Universitäten, Internet Cafes usw. Auch Menschen, die gerne per VPN unterwegs sind, haben ein Problem.

Die IP alleine reicht daher also mit Sicherheit nicht aus, was vermutlich auch der Grund dafür ist, dass mir kein Service bekannt ist, der etwas vergleichbares tut

 

[MrPyro13]

Intern mag das ja stimmen, aber das was hier gemeint ist, ist definitiv anders, daher ist diese Aussage falsch. Alle Anfragen laufen über den Router, es kann sogar sein, dass ganze Häuserketten, die über einen Anbieter laufen, die gleiche IP besitzen.

Edit: Ein IP basierter Login ist nicht sicher und auch nicht sinnig. Dann lieber in den Cookies ein Sicherheitstoken speichern (siehe Steam)

Alles klar Danke für die Korrektur

 

[Inkemann]

Und dann kommt sowas wie Kabel dazu, wo ein IPv6-Subnetz genutzt wird und dann manchmal hunderte Anschlüsse eine IPv4-Adresse bekommen.