gebruikersnaam / wachtwoord opslaan?

Overzicht Reageren

Sponsored by: Vacatures door Monsterboard

Pagina: 1 2 volgende »

Ozzie PHP

Ozzie PHP

09/01/2012 08:55:08
Quote Anchor link
Hallo allemaal,

Even een vraagje... ik vraag me iets af. Bij het inloggedeelte van een cms is het dan verstandig om een optie te bieden om gebruikersnaam / wachtwoord op te slaan? In de cms kunnen ook persoonlijke zaken komen te staan zoals jouw persoonlijke adresgegevens, vrije dagen e.d. In ieder geval informatie die niet voor andere collega's zichtbaar mag zijn.

Nu vraag ik me dus af wat wijsheid is:

1) niet de mogelijkheid bieden om gebruikersnaam / wachtwoord op te slaan
2) mogelijkheid bieden om alleen de gebruikersnaam op te slaan. De gebruikersnaam staat dan ingevuld, maar je moet zelf het wachtwoord nog invullen.
3) mogelijkheid bieden om zowel de gebruikersnaam als het wachtwoord op te slaan (je wordt dan automatisch ingelogd)

Optie 1 is het meest veilig maar betekent wel dat je als gebruiker telkens je gebruikersnaam en wachtwoord moet invullen. Optie 3 is het minst veilig, maar wel het meest gemakkelijk (je hoeft dan niks in te vullen).

Wat vinden jullie? Graag advies.
 
PHP hulp

PHP hulp

27/11/2024 19:50:25
 
Wouter J

Wouter J

09/01/2012 10:16:11
Quote Anchor link
De optie zou ik altijd erin zetten. Dan mag die persoon zelf bepalen wat hij wil.

Je moet niet alles zelf willen beslissen. Een gebruiker moet ook zelf verantwoordelijkheid hebben. Ik zou alle 3 de opties beschikbaar stellen. Zo kan de gebruiker kiezen naar wat hem het handigst lijkt.
 
TJVB tvb

TJVB tvb

09/01/2012 10:19:20
Quote Anchor link
Je kunt een gelaagd systeem maken. Wel de mogelijkheid om ingelogd te blijven. Maar bij sommige gevoelige data moet je die sessie je wachtwoord opgeven. Dan heb je een mix van gebruikersvriendelijkheid en veiligheid. (Zoiets heeft LinkedIN bijvoorbeeld, totdat je dingen gaat wijzigen ben je wel ingelogd maar hoef je niet je wachtwoord te geven)
 
- SanThe -

- SanThe -

09/01/2012 10:53:48
Quote Anchor link
De browser biedt die mogelijkheid toch al.
 
Ozzie PHP

Ozzie PHP

09/01/2012 10:58:19
Quote Anchor link
Dank voor de toevoegingen heren.

@Wouter: enerzijds geef ik je gelijk. Maar ik zie het al gebeuren dat collega 1 pauze neemt en collega 2 even besluit om eens in het cms van zijn collega te snuffelen om te kijken waar deze mee bezig is. En inderdaad, dat is allesbehalve netjes van collega 2, maar ik wil dit soort situaties graag voorkomen. (Denk bijv. aan een vertegenwoordiger die wil zien met welke klanten zijn collega bezig is.)

@TJVB: dat is inderdaad een goede tip, maar er vanuitgaande dat je altijd iets moet wijzigen (waarvoor zit je anders in het cms) zou dit betekenen dat je toch nog altijd je wachtwoord moet invoeren. Per saldo schiet je er dan niet heel veel mee op.

@SanThe: niet iedere browser toch?

Tja, wat is dan wijsheid vraag ik me af.
Gewijzigd op 09/01/2012 10:59:04 door Ozzie PHP
 
Jelle -

Jelle -

09/01/2012 11:04:13
Quote Anchor link
Ozzie PHP op 09/01/2012 10:58:19:
Dank voor de toevoegingen heren.

@Wouter: enerzijds geef ik je gelijk. Maar ik zie het al gebeuren dat collega 1 pauze neemt en collega 2 even besluit om eens in het cms van zijn collega te snuffelen om te kijken waar deze mee bezig is. En inderdaad, dat is allesbehalve netjes van collega 2, maar ik wil dit soort situaties graag voorkomen. (Denk bijv. aan een vertegenwoordiger die wil zien met welke klanten zijn collega bezig is.)

@TJVB: dat is inderdaad een goede tip, maar er vanuitgaande dat je altijd iets moet wijzigen (waarvoor zit je anders in het cms) zou dit betekenen dat je toch nog altijd je wachtwoord moet invoeren. Per saldo schiet je er dan niet heel veel mee op.

@SanThe: niet iedere browser toch?

Tja, wat is dan wijsheid vraag ik me af.

Bij een soort van backoffice zou ik het eerlijk gezegd niet opslaan, bij frontend gebruikers zou het in principe kunnen met een gelaagd systeem zoals TJVB zegt. Je wilt namelijk niet dat je automatisch inlogd op een backoffice. Je krijgt van iemand een linkje toegestuurd en zonder dat je het weet klik je ergens (of via js bijvoorbeeld) en gaat er een post request die vrolijk een aantal dingen wijzigd in je cms. Puur omdat je automatisch ingelogd bent. Gewoon beide velden leeg laten.
Gewijzigd op 09/01/2012 11:04:45 door Jelle -
 
Ozzie PHP

Ozzie PHP

09/01/2012 11:20:17
Quote Anchor link
Smur f het gaat inderdaad om een backoffice.

Wel humor... ik heb nu eigenlijk 3 reacties... die allemaal iets anders aanraden. Wouter adviseert om alle opties om gebruikersnaam / wachtwoord op te slaan aan te bieden, TJVB adviseert om met gelaagdheid te werken en Smur f adviseert weer om juist helemaal niks op te slaan.

Hmmm, veiligheidshalve neig ik tot nu toe het meest naar de optie om niks op te slaan.
 
Jelle -

Jelle -

09/01/2012 11:23:45
Quote Anchor link
Op zich kun je wel zeggen dat je de verantwoordelijkheid bij de gebruiker legt, maar daar gaat het juist vaak fout. Gebruikers kiezen bijna altijd voor de gemakkelijke weg en dat is om het op te slaan en je wilt je gebruikers toch wel tot een zekere hoogte beschermen voor dat soort dingen.
 
Ozzie PHP

Ozzie PHP

09/01/2012 11:32:25
Quote Anchor link
En wat vind je van een tussenoplossing om bijvorbeeld alleen de gebruikersnaam op te slaan?
 
Jelle -

Jelle -

09/01/2012 12:05:27
Quote Anchor link
De meeste mensen zullen toch de default gebruiken dus dat zou inderdaad kunnen :)
 
Ozzie PHP

Ozzie PHP

09/01/2012 12:08:02
Quote Anchor link
Wat bedoel je in dit geval met "de default"?

Je zou dan dus een selectbox krijgen die je kunt aanvinken als je wilt dat je gebruikersnaam wordt opgeslagen.
 
Jelle -

Jelle -

09/01/2012 12:14:33
Quote Anchor link
Ik bedoel daarmee dat je vaak een superuser hebt voor je backoffice, "admin" om maar even te benoemen. Je zult vaak zien dat mensen die superuser (default user) voor al het gebruik gebruiken en dan kun je de gebruikersnaam natuurlijk makkelijk raden.

Inloggen beslaat 2 sleutels, eentje die niet zo lastig is (gebruikersnaam) en eentje die zo lastig mogelijk is (wachtwoord).

Als de gebruikersnaam algemeen bekend is kun je hem net zo goed laten bewaren.
Gewijzigd op 09/01/2012 12:15:24 door Jelle -
 
Ozzie PHP

Ozzie PHP

09/01/2012 12:24:45
Quote Anchor link
Ja, maar ik bedoel dus je persoonlijke gebruikersnaam. Namen als 'admin' 'admin1' enz. die ga ik maar gewoon blokkeren :)
 
Marco PHPJunky

Marco PHPJunky

09/01/2012 13:19:39
Quote Anchor link
Ozzie ik snap je probleem maar zoals SanThe ook al zegt vragen de "nieuwe" brouwsers
dit ook al of ze het wachtwoord voor deze site mogen/moeten opslaan dus met dat in gedachte kan je best de optie maken van "ingologd blijven" maar dan alleen voor de "admins" niet.....
zoals je zelf ook al zegt....

Maar ik vind het eigenlijk ook wel een beetje van het soort systeem afhankelijk in hoever dit doorgevoerd word bijvoorbeeld:
Voor een "normaal cms systeem" dat alleen tekst voor site enzo kan aanpassen is dit geen probleem, maar als het nu een payroll systeem betreft zou ik bij de "gevoelige" data het wellicht nogmaals aan de gebruiker vragen of hij wel echt de persoon is die ingelogd is...
 
Ozzie PHP

Ozzie PHP

09/01/2012 14:14:44
Quote Anchor link
Marco PHPJunkie op 09/01/2012 13:19:39:
...met dat in gedachte kan je best de optie maken van "ingologd blijven" maar dan alleen voor de "admins" niet.....
zoals je zelf ook al zegt....

Da's een beetje lastig omdat je op het moment van inloggen niet weet of een "normale" user of een "admin" zich gaat aanmelden :)

Marco PHPJunkie op 09/01/2012 13:19:39:
...maar als het nu een payroll systeem betreft zou ik bij de "gevoelige" data het wellicht nogmaals aan de gebruiker vragen of hij wel echt de persoon is die ingelogd is...

Een payroll systeem (nog) niet, maar wel waar persoonlijk informatie in komt te staan. Dus vandaar dat ik het zo veilig mogelijk wil.

Is er trouwens een manier om dat automatisch opslaan van gebruikersnaam en wachtwoord te blokkeren? (Hoe weet de browser dat het om een inlogformulier gaat?)
Gewijzigd op 09/01/2012 14:15:05 door Ozzie PHP
 
Jelle -

Jelle -

09/01/2012 14:21:11
Quote Anchor link
Ik denk dat de meeste browsers reageren op een password type veld, maar die heb je nou eenmaal nodig :)
 
Ozzie PHP

Ozzie PHP

09/01/2012 15:33:00
Quote Anchor link
Hmm, ja.. da's inderdaad wel de meest logische verklaring...

Is dit eigenlijk niet een hele domme zet? Dat automatisch opslaan van gebruikersnaam en wachtwoord? Stel je bent op vakantie in een internetcafé en je wilt inloggen op je webmail. Een prompt in beeld waar in een vreemde taal wordt gevragd of je wachtwoord moet worden opgeslagen. Oeps, je klikt verkeed. Nou, dan ben je mooi klaar :-s Want de kans is groot dat jij de cache van de browser niet kunt leeggooien...
 
TJVB tvb

TJVB tvb

09/01/2012 15:36:58
Quote Anchor link
Dat is wel dom om dan je wachtwoord in te vullen.

Je kunt bijvoorbeeld de naam van je formulier velden random maken. Dit opslaan in je sessie en dan laden bij het verwerken van het inloggen.
Hiermee blokkeer je denk ik de wachtwoord onthoud mogelijkheid van de browser. (Tenminste, het wordt onthouden maar kan het niet weer invullen omdat het andere velden zijn)
 
Marco PHPJunky

Marco PHPJunky

09/01/2012 15:44:09
Quote Anchor link
Je zou ook eventueel kunnen werken met frequent ip adres...
want een gebruiker logt 8/9 van de 10 keer in op dezelfde plek (kantoor/werk/thuis)

mocht je dan ineens een ip adres krijgen van een hele andere plek (bv. buitenland)
dan kan je dat niet laten opslaan of juist extra vragen...

Zeg maar iets van een vertrouwde inlog locaties dan wel ip adressen..
 
Ozzie PHP

Ozzie PHP

09/01/2012 15:45:59
Quote Anchor link
Ah ja, das inderdaad wel een leuke. Wel een rare manier van beveiligen, maar als het werkt...

Toevoeging op 09/01/2012 15:46:50:

@Marco... ik snap wat je bedoelt, maar dat helpt niet tegen een browser die ineens met zo'n pop-up komt.
 
Chris -

Chris -

09/01/2012 16:36:39
Quote Anchor link
- SanThe - op 09/01/2012 10:53:48:
De browser biedt die mogelijkheid toch al.


En die is ook uit te schakelen door gebruik te maken van
Code (php)
PHP script in nieuw venster Selecteer het PHP script
1
autocomplete="off"

Browsers horen dit te accepteren en dus te negeren :-)
 

Pagina: 1 2 volgende »



Overzicht Reageren

 
 

Om de gebruiksvriendelijkheid van onze website en diensten te optimaliseren maken wij gebruik van cookies. Deze cookies gebruiken wij voor functionaliteiten, analytische gegevens en marketing doeleinden. U vindt meer informatie in onze privacy statement.