Schwache Authentifizierung ist das Einfallstor in das System. Credential Stuffing, Session Fixation, fehlendes MFA — Identitätsangriffe machen den Großteil der Sicherheitsvorfälle aus.

Typische Fehler¶

• Schwache Passwörter erlauben
• Fehlender Brute-Force-Schutz
• Session-ID in der URL
• Unbegrenzte Session-Gültigkeit
• Fehlendes MFA

Sichere Session¶

app.config.update( SECRET_KEY=os.environ[‘SECRET_KEY’], SESSION_COOKIE_HTTPONLY=True, SESSION_COOKIE_SECURE=True, SESSION_COOKIE_SAMESITE=’Lax’, PERMANENT_SESSION_LIFETIME=1800, )

Rate Limiting¶

const rateLimit = require(‘express-rate-limit’); const loginLimiter = rateLimit({ windowMs: 15 * 60 * 1000, max: 5, message: { error: ‘Zu viele Versuche.’ }, }); app.post(‘/api/login’, loginLimiter, loginHandler);

TOTP MFA¶

import pyotp secret = pyotp.random_base32() totp = pyotp.TOTP(secret) uri = totp.provisioning_uri(name=”[email protected]”, issuer_name=”MyApp”)

Verifizierung¶

totp.verify(code, valid_window=1)

Wichtigste Erkenntnis¶

Starke Passwörter + Rate Limiting + MFA + sichere Sessions. Bewährte Bibliotheken verwenden, keine eigene Kryptografie implementieren.