Nogle hacker her på forummet?

Hvad er den bedste måde, at lave autologin via email, men så man stadigvæk har et sikkerhedsniveau.

Nogle autologin, har allerede en konto, men ville helst undgå, at de skulle taste password ind.

Kan det lade sig gøre? Eller nogle andre bud på en løsning.

Cookies?

Det bliver aldrig helt sikkert uden at brugeren på en eller anden måde skal identificere sig. Så hvis brugeren ikke skal indtaste en kode, skal han verificeres på anden måde - eksempelvis med et certifikat på computeren.

Dit link sendes i "clear tekst". Dvs. at hvis e-mail'en opsnappes, eller ved en fejl videresendes, har andre adgang til din brugers konto.

Er det på engelsk en "token", som man har i sit link?

Hvad med brute force attacks, vil gerne sikker mine bruger, så man ikke bare kan taste password ind hele tiden.
Nogle råd til dette? Fx. hvor mange gange, skal kontoen låses og hvor lang tid.

Men I svarede ikke på om I kan finde ud af og hacke, kunne godt senere bruge nogle som prøvede at få adgang til vores beta test. 

Hvad angår bruteforce, så er der ikke forskel på om passwordet (dit token) angives i linket eller et indtastningsfelt. Men hvis dit token eksempelvis er et GUID eller anden tilfældigt genereret værdi, bliver det enormt svært at bruteforce. Typisk gøres dette med et dictionary attach - dvs. forsøg på baggrund af en liste af ord- og tal-kombinationer.

God ide at begrænse antal login-forsøg - det vil reducere risikoen for succes med bruteforce.

nembankbox:

hvor mange gange, skal kontoen låses og hvor lang tid.

Normalt siger man 3-5 gange og kontoen skal kun låses op når I er sikre på at det er den rigtige bruger.

Evt. kan I gøre det at ved første loginfejl er der en pause på 30 sekunder før man kan logge ind igen. Ved 2. loginfejl 2 minutters pause og ved 3 loginfejl bliver kontoen låst.