Sicheres Passwort für die Homepage

Es beschäftigt bestimmt viele die Frage, wie man seine Homepage beziehungsweise Website ganz beziehungsweise Teile der Seite mit einem Passwort schützt. Dabei unterscheidet man zwischen verschiedenen Sicherheitsstufen. Man kann zum Beispiel eine Webseite per Htaccess, PHP, Javascript etc. sichern. Die unsicherste Methode dabei ist Javascript. Htaccess hingegen soll sehr sicher sein. Das Problem bei Javascript ist, dass man das Passwort im Quelltext der Seite lesen kann.

Jetzt wollte ich fragen, wie Ihr eure Homepage vor Leuten schützt, die er nicht auf der Seite haben wollt? Habt ihr ein Einheitspasswort oder eine Datenbank, die die Usereingabe abfragt? Welches nutzt ihr zur Passwortsicherung? Von welcher Methode würdet ihr mehr abraten beziehungsweise welche würdet ihr mehr empfehlen?

Ich selbst habe mich für htaccess entschieden, da diese Methode nicht nur sehr sicher ist, sondern auch leicht umsetzbar ist und keine großen Vorkenntnisse voraussetzt. Wichtig für die Umsetzung ist, dass euer Webspace die Dateiformate unterstützt.

Wenn jemand noch ein genaues Tutorial haben möchte, wie man sich mit den unterschiedlichen Methoden einen Passwortbereich erstellt, muss er nur im Thread antworten.

Wenn man einzelne Seiten absichern möchte und dabei kein fertiges Script oder CMS verwendet, ist die Verwendung von .htaccess wohl die einfachste Variante. Aber jedes größere Script hat ja seinen eigenen Passwortschutz, da braucht man sich selbst kaum Gedanken über eine Absicherung machen. Von der Sicherheit her sind beide Methoden ziemlich gleichwertig.

Ein "Passwortschutz" Javascript ist keine Absicherung sondern nur ein schlechter Witz.

Ob ein Passwortschutz sicher ist oder nicht hängt von der Implementierung ab. Es ist also völlig falsch pauschal zu sagen Javascript ist unsicher! Sicher kann hier einfach das Passwort sichtbar in den Quelltext schreiben und einen einfacher Vergleich machen. Man kann aber auch eine MD5-Hashfunktion implementieren. Sinnvoll ist das ganze aber nur bei einzelnen Dateien (Downloads bspw.) Ansonsten ist ein Loginbereich mit PHP die bessere Wahl. Bei mehreren Usern dann mit Datenbank Anbindung.

Natürlich kann man auch einen MD5-Hash einprogrammieren und dann steht auch das Passwort nicht im Quelltext. Aber ohne Unterstützung durch ein Serverscript bringt das leider auch recht wenig. Klar, da gibt es die Methode, dass man einfach das Passwort als Namen für die HTML-Datei, die aufgerufen wird, verwendet, aber wer weiß nicht, ob es google nicht irgendwie schafft, diese Datei dann doch zu indizieren? Zumal eine Sicherung per .htaccess wesentlich einfacher und dazu noch sicherer ist.