Logowanie Opcje

[spenalzo]

Tak zastanawiam się czy takie coś jest wystarczającym zabezpieczeniem:

login.php - pobieranie danych z bazy, sprawdzanie czy zgadzają sie z formularzem, i jeżeli tak to zapisujemy sesje z nazwą usera i jego ID.

konto.php - sprawdzanie czy istnieje rekord z takimi danymi, i jeżeli tak to pozwalamy oglądać stronę oraz sprawdzanie czy sesja nie jest starsza niż 7200 sekund.

Wymyśliłem sobie zapisywanie w sesji IP uzytkownika i jeżeli sie zmieni to wywalamy go.

Czy takie coś jest wystarczająco bezpieczne? Jakie są Wasze propozycje?
Bo to wszystko zależy od bezpieczeństwa sesji.

[scanner]

Klient zaproponował poniższą metodę uwierzytelniania użytkownika:

Uzytkownik pewnej intranetowej aplikacji aby się zalogowac do systemu, musi oprócz hasła podac ścieżkę do pliku, w którym znajduje się wygerenowany podczas zakładania konta i przekazany na dyskietce za potwierdzeniem unikalny klucz.

Coś jak jest chyba w Płatniku i MultiCash'u. Chodzi o to, aby utrudnić przejęcie loginu i zarazem utrudnienie jego odgadnięcia- jeśli przyygotuję np. 1024bajtowy klucz, który będzie identyfikatorem użytkownika... Co o tym, myślicie? Ja oczywiscie zaproponowałem klientowi takie funkcjionalności jak:

- logowwanie adresu IP, z którego próbowano się zalogować dla każdego loginu, wraz z datą i godziną próby
- zliczanie błędnych prób logowań i blokada konta z informacją do administratora po przekroczeniu wartości progowej
- dla klientów posiadającyych stałe IP możliwość logowania tylko z podanych IP
- wymagana zmiana hasła co okrełśony przedział czasu
- zabezpieczenie przed robotami wymuszającymi metody słownikowe logowania: losowo generowany obrazek zawierający jakiś tekst (a'la sms.idea.pl lub era.omnix)