Effektiver Passwortschutz
Autor: Sanjay Sauldie
Egal ob Sie die Adressenliste Ihres Vereins nur Mitgliedern zugänglich machen wollen oder eine Online-Bewerbung ins Netz stellen, die nur ihr zukünftiger Chef lesen soll: für alle diese Fälle soll ein Passwortschutz für einen definierten Bereich der Website her, der zugleich einfach zu bedienen und wirkungsvoll sein soll. Anfänger versuchen sich zuerst an JavaScript-Passwörtern. Aber es gibt bessere Möglichkeiten, wie zum Beispiel »htaccess«.
Bei JavaScript-Passwörtern, die immer noch häufig im Netz anzutreffen sind, gibt es verschiedene Variationen, die aber alle Nachteile mit sich bringen.
Entweder sind Passwortphrase und Seitenbenennung der betreffenden Seite identisch, was dazu führen kann, dass ein Lesezeichen auf diese Seite Ihren geschützten Bereich immer auf Browseranfrage präsentiert. Oder die Verschlüsselung des Passwortes ist im Quelltext versteckt. Jeder fortgeschrittene HTML-Leser wird das Passwort leicht finden. Ein drittes Manko ist sicherlich auch, dass Javascript-Passwörter Formularfelder benutzt, die nur per Mausklick zu bedienen sind. Der Besucher darf also eine Eingabe nicht mit Return abschließen, sondern muss einen »Submit«-Button anklicken.
Dies führt zu so umständlichen Formulierungen, wie: »Bitte unbedingt den WEITER-Knopf drücken!« – eine sehr unkomfortable Form der Eingabe.
Alle diese Mankos lassen sich mit htaccess vermeiden. Htaccess ist Ihnen sicherlich auch schon im Netz begegnet: will ein Besucher einen geschützten Bereich betreten, springt ein Pop-up-Fenster auf und er muss Benutzernamen und Passwort eingeben. Auch ein Bookmark auf dieser Seite läßt sich nicht setzen: das Eingabe-Fenster klappt automatisch auf, sobald jemand die Seite aufsucht.
Erst nach der Eingabe des richtigen Passwortes darf der Besucher passieren. Übrigens: drei falsche Eingaben leiten gnadenlos zu einer Fehler-Seite weiter.
Der Browser muss nochmals gestartet werden, um eine weiteren Versuch zu starten. Umgekehrt kann er während einer Internet-Session immer wieder zurückkehren, da das Passwort im Browser immer noch da ist. Es spricht alles vieles für einen sicheren Passwortschutz: Was müssen Sie aber tun, um »htaccess« zu benutzen?
Nun, zunächst brauchen Sie ein kleines Programm, das unter Unix oder Linux als Standard mitgeliefert wird. Wie, Sie haben kein Linux? Auch kein Problem. Das Programm wurde nämlich von netten Menschen auch für Windows, beziehungsweise DOS emuliert. Es heißt »htpasswd« und ist für die Generierung des Passwortes zuständig. Sie können es sich hier herunterladen. [562 KB]
Es ist nur 562 KB groß. Jetzt haben Sie das Programm heruntergeladen und wollen das Passwort generieren. Zuerst müssen Sie dafür in die DOS-Ebene des Computers. Dafür müssen Sie einfach nur ein DOS-Fenster öffnen, auf das Laufwerk C:\ wechseln (wenn Sie nicht sowieso schon dort sind) und folgende Zeile in die Eingabeaufforderung eingeben:
htpasswd -c htpasswd.txt derBenutzername
Das Attribut »-c« kreiert Benutzername und Passwort in eine Datei namens »passwd.txt« im gleichen Verzeichnis, also in diesem Fall auf »c:\«. Schauen Sie mal nach, ob die Datei angekommen ist.
Jetzt gucken wir uns »passwd.txt«- genauer an. In der Datei steht nur eine Zeile:
mustermann:a.L0oPH1HWn8I
Mustermann ist der Beispiel-Benutzername und die Buchstaben-Kolonne ist die Verschlüsselung Ihres Kennwortes, in diesem Fall das Wort »geheim«.
Diese Datei muss nun zusammen mit einer weiteren Datei in das Verzeichnis kopiert werden, das Sie in Ihrem Webbereich schützen wollen. Wir haben als Beispiel den Ordner »privat« auf unserer Webpage angelegt. In diesem Verzeichnis befindet sich eine HTML-Datei, die vor den Augen der Öffentlichkeit verborgen werden soll. Damit der Passwortschutz wirksam werden kann, müssen wir wie gesagt eine zweite Datei bereit stellen.
Sie heißt »htaccess« und ist unbedingt notwendig, damit der Server weiß, dass er hier eine Passwortabfrage machen soll, bevor er einem Besucher Zutritt gewährt. Schauen wir uns jetzt einmal die zweite Datei an. Sie heißt »htaccess.txt« und sollte z. B. folgenden Inhalt bieten:
AuthName “Sanjay Sauldie”
AuthType Basic
AuthUserFile /privat/.htpasswd
require valid-user
Was heißt das übersetzt? Nun, diese Datei ist quasi der Schlüssel zu Ihrem geschützten Bereich. In ihr befindet sich der Bereichsname, in diesem Fall »Sanjay sauldie« und der absolute Pfad Ihrer Homepage in Bezug auf den Server. Um die AuthUserfile-Angabe richtig einzusetzen, müssen Sie sich an den Webmaster wenden, um den absoluten Pfad Ihrer Domain rauszubekommen. Er lautet wahrscheinlich ähnlich, aber Sie brauchen ja die genaue Angabe, sonst läuft der Passwortschutz nicht auf dem Server.
Kleiner Tipp am Rande: Wenn AuthName aus mehreren Wörtern besteht, muss er in Anführungszeichen eingetragen werden: AuthName “meine private Seite 
” ansonsten gibt es den bekannten 500 Error!
Nehmen Sie nun die beiden Dateien »htpasswd.txt« und »htaccess.txt« und laden Sie beide Dateien in das Verzeichnis, das Sie schützen wollen, im unserem Fall also »privat«. Wir haben das hier einfach mal mit WS_FTP bewerkstelligt. Wie Sie sehen sind hier alle notwendigen Dateien schon im Verzeichnis: Die HTML-Datei, die geschützt werden soll, die kleine Anweisung, die dem Server sagt, dass ein Kennwort benötigt wird und schließlich auch das Kennwort selbst.
Als nächstes müssen Sie nur noch die ».txt«-Textdateien umbenennen, damit der htaccess-Schutz in Aktion treten kann. Dazu benutzen Sie den Befehl »Rename« von WS_FTP.
Unbenannt wird von »htaccess.txt« in ».htaccess« und von »htpasswd.txt« in ».htpasswd«. Der Screenshot illustriert dies. Aber hoppla… plötzlich sind beide Dateien verschwunden! Nur noch die »index.html« steht im Verzeichnis.
Keine Panik. Genau so soll es sein. Denn beide Access-Dateien werden zu versteckten Dateien. Sie können Sie mit dem WS-FTP-Befehl »-al« wieder zum Vorschein bringen. Diesen Befehl haben wir im Screenshot in das kleine weiße Fenster unter »MkDir« eingetragen.
So, das Verzeichnis ist jetzt gesichert und kann nur vom Benutzer »mustermann« mit dem Kennwort »geheim« betreten werden. Bis jetzt haben wir es mit nur einem Benutzer zu tun gehabt. Was aber muss passieren, damit htaccess mehrere Benutzer verwalten kann? In unserem Beispiel soll zu »mustermann« auch noch seine Frau kommen, die wir schlicht »musterfrau« nennen. Sie bekommt ebenfalls ihr eigenes Passwort. Wie man das erstellt, haben wir bereits behandelt. Sie müssen nur mit folgender Operation einen zweiten User zu Ihrer Passwort-Datei »htpasswd.txt« hinzufügen. Das sieht auf der Konsole so aus:
Neugierig, wie wir sind, gucken wir in die neue »htpasswd.txt«-Datei mit der dazugefügten »musterfrau«. Das Ergebnis ist sehr überschaubar. Zu »mustermann« wurde einfach eine zweite Zeile dazugefügt. Das ist alles:
mustermann:a.L0oPH1HWn8I
musterfrau:4hoq7Vri/Ts4A
Diese Form der Verschlüsselung ist übrigens ziemlich sicher, da sie maschinenspezifisch ist. Selbst wenn ein Hacker irgendwie die verschlüsselte Datei in die Hände bekommt, kann er sie trotzdem nicht zurückberechnen. Bei der Passworteingabe wird das Passwort durch die Unix-Systemfunktion »crypt()« kodiert und mit der Passwortdatei abgeglichen.
Ist es identisch, so darf der Besucher passieren. In htaccess ist es übrigens auch möglich mit einer Extra-Datei eine ganze Gruppe von Benutzern komfortabel zu verwalten. Dafür muss in einer Datei, die ».htgroup« heißt, eine Reihe von Benutzern definiert werden.
Das kann zum Beispiel so aussehen:
gruppe1: mustermann musterfrau musterkind
gruppe2: anton eva heinz
Die »htaccess«-Datei muss dann aber neu konfiguriert werden. Statt des Eintrags »require valid-user« muss jetzt » require group« angegeben werden. Durch diese Zeile wird gewährleistet, dass alle Gruppenangehörige auch tatsächlich in die geschützten Verzeichnisse gelangen können.
Sanjay Sauldie ist Begründer der Internet Marketing Strategie iROI, welches die erste TÜV-zertifizierte Internet Marketing Strategie Europas ist.
Verwandte Themen:
» Unternehmensfilm P-ROI Strategie
» Aktuelles rechtzeitig zum Jahresende
» Ausfinanzierung einer bestehenden Pensionszusage (ein Praxisbeispiel)
» Berufsbekleidung - Kleidung, die Appetit macht
Kommentare
Keine Kommentare bisher
Schreiben Sie einen Kommentar: