Wenn ein Kunde sein Zugangspasswort zwei Mal falsch eingibt, wird sein Account für einige Zeit gesperrt. Dies möchten wir gerne umstellen. Wo in Shopware 4 lässt sich dieses verändern, sodass z.B. die Anzahl der Fehlversuche erhöht werden kann?
Hi, das passiert in der \Shopware_Components_Auth_Adapter_Default::authenticate-Methode: if ($user-\>failedlogins \>= 4) { $lockedUntil = new Zend\_Date(); $lockedUntil-\>addSecond($this-\>lockSeconds \* $user-\>failedlogins); $this-\>setLockedUntil($lockedUntil); }
So wie ich das sehe, kommst du da ohne Weiteres nicht ran. Man könnte jetzt versuchen, sich an die \Shopware_Controllers_Backend_Login::loginAction zu hängen und nach einem erfolgreichen Login die “failedLogins” statt auf 0 (Standard) auf einen negativen Wert zu setzen (dann erhöht sich ja die Anzahl der Login-Versuche) - aber bei einem so kritischen System wie dem Login-System würde ich solche Anpassungen eher nicht empfehlen. Da würde ich also eher vorschlagen, ein Ticket anzulegen, damit der Wert im Standard konfigurierbar wird. lG dsn
Warum kann ein Admin einen gesperrten Account im Backend nicht wieder freigeben. Der Kunde ist unzufrieden und ruft an und als Shopbetreiber bin ich hilflos, wenn ich nicht gerade phpMyAdmin bedienen kann?
Hallo, generell ist die Funktion ja eine reine Sicherheitsfunktion. Man muss also schon mindestens 4x das Passwort falsch eingeben und dann ist man auch nur ganz kurz gesperrt (Sekundenbereich). Macht man das nun immer weiter öfter hintereinander, so wird die Sperrzeit höher. Spätestens dann sollte man sich besser als Kunde ein neues Passwort zuschicken lassen. Das geht alles schneller, als wenn ein Kunde sich beim Shopbetreiber meldet und dieser die Sperrung dann im Backend aufhebt (wenn man dafür eine Funktion einbauen würde). Generell kann ich da also so das große Problem gar nicht nachvollziehen Vielleicht ansonsten wie Daniel geschrieben hat einfach dazu einen Vorschlag einreichen, um z.B. den Wert der fehlerhaften Logins nach oben setzen zu können. Sebastian
Hallo, vielen Dank für die Antworten. In unserem Shop ist man bereits nach 2 Versuchen gesperrt. Und dann für mindestens 5 Minuten. Das Ärgerliche ist jedoch, dass der Kunde sich nach dem Zuschicken mit seinem neu generierten Passwort immer noch nicht einloggen kann. Er gibt sein neues Passwort ein und da die Sperre noch aktiv ist, wird sie durch die Eingabe wieder verlängert. Spätestens dann dürfte auch der Geduldigste abspringen. Uns wundert es etwas, warum bei uns schon nach zwei Versuchen die Sperre aktiv wird. In der \Shopware_Components_Auth_Adapter_Default steht, wie oben genannt, „failedlogins >= 4“. Sollten es dann nicht auch zumindest vier Versuche geben? Vielen Dank im Voraus für einen Hinweis dazu.
Keiner eine Idee, warum man in unserem Shop bereits nach zwei Versuchen gesperrt wird?