Sicherheit im Club Daguerre
Dokumentation des Authentifizierungssystems
Inhaltsverzeichnis
- Überblick und Grundlagen
- Der Anmeldeprozess im Detail
- Technische Sicherheitsmerkmale
- Häufig gestellte Fragen (FAQ)
- Support und Hilfe
1. Überblick und Grundlagen
Der Club Daguerre setzt auf ein modernes und sicheres Magic Link-Authentifizierungssystem für den Zugang zum Mitgliederbereich. Dieses System wurde speziell entwickelt, um Ihnen einen komfortablen und gleichzeitig hochsicheren Zugang zu ermöglichen.
Zentrale Sicherheitsmerkmale:
- Keine Passwörter zum Merken oder Verwalten
- Sichere Anmeldelinks mit zeitlich begrenzter Gültigkeit (1 Stunde)
- Sichere Überprüfung der Mitgliedschaft
- Verschlüsselte Verbindungen auf allen Ebenen
- Alternative Anmeldung mit 6-stelligem Code verfügbar
Was wir niemals tun werden:
- Nach einem Passwort fragen
- Sie auffordern, persönliche oder finanzielle Informationen preiszugeben
- Unaufgefordert Anmeldelinks versenden
- Sie per E-Mail um sensible Daten bitten
2. Der Anmeldeprozess im Detail
Schritt-für-Schritt Ablauf (Magic Link):
Erste Stufe: E-Mail-Identifikation
- Besuchen Sie https://club-daguerre.eu
- Geben Sie Ihre registrierte E-Mail-Adresse ein
- Das System überprüft automatisch Ihre Mitgliedschaft
Zweite Stufe: Magic Link per E-Mail
- Sie erhalten eine E-Mail mit einem sicheren Anmeldelink
- Absender ist immer [email protected]
- Der Link ist 1 Stunde lang gültig
- Jeder Link kann nur einmal verwendet werden
Erfolgreiche Anmeldung
- Klicken Sie auf den Link in der E-Mail
- Sie werden automatisch angemeldet
- Ihre Sitzung bleibt bis zu 365 Tage aktiv
- Aus Sicherheitsgründen müssen Sie sich nach dieser Zeit neu anmelden
Alternative: Code-basierte Anmeldung
Für Nutzer, die die klassische Methode bevorzugen:
- Wählen Sie "Zur Code-Anmeldung" auf der Anmeldeseite
- Sie erhalten einen 6-stelligen Code per E-Mail
- Der Code ist 10 Minuten gültig
- Geben Sie den Code auf der Webseite ein
3. Technische Sicherheitsmerkmale
Magic Link-Generation
- 32 Byte URL-sicherer Zufalls-Token
- Kryptographisch sicherer Zufallsgenerator
- Automatische Ungültigkeit nach 1 Stunde
- Einmalige Verwendung (wird nach Nutzung gelöscht)
- Ein Link pro E-Mail-Adresse pro Zeitfenster
Verbindungssicherheit
- TLS 1.3 Verschlüsselung
- HTTPS-Enforcing auf allen Verbindungen
- HTTP Strict Transport Security (HSTS)
- Secure Cookie Flags (HttpOnly, Secure, SameSite)
Die Club Daguerre interne Webseite erhielt vom unabhängigen Prüfinstitut SSL Labs mit A+ die bestmögliche Note für Sicherheit. Das Zertifikat finden Sie hier.
Session-Management
- Server-seitige Session-Validierung mit Redis
- Verschlüsselte Session-Token
- Bis zu 365 Tage maximale Session-Dauer
- Automatische Session-Invalidierung bei:
- Ablauf der Zeitspanne
- Expliziter Abmeldung
- Manueller Löschung durch Administrator
Browser-basierte Authentifizierung
Wichtig: Die Anmeldung erfolgt pro Browser auf jedem Gerät separat.
Beispiel:
- Sie melden sich auf Ihrem Laptop in Chrome an → Zugang aktiv in Chrome
- Öffnen Sie Firefox auf demselben Laptop → Neue Anmeldung erforderlich
- Nutzen Sie Safari auf Ihrem iPad → Neue Anmeldung erforderlich
- Öffnen Sie Chrome auf Ihrem Smartphone → Neue Anmeldung erforderlich
Jeder Browser speichert seine eigene Sitzung unabhängig. Dies erhöht die Sicherheit, bedeutet aber auch, dass Sie sich in jedem Browser, den Sie nutzen möchten, einmal anmelden müssen.
Brute-Force-Schutz
- Ratenbegrenzung: 1 Anfrage pro Minute pro E-Mail-Adresse
- Cooldown-Periode zwischen Anfragen
- Verhinderung von Spam-Anfragen
Datenspeicherung
- Keine Speicherung von Passwörtern
- Temporäre Speicherung aktiver Links (max. 1 Stunde)
- Verschlüsselte Session-Informationen in Redis
- Automatische Bereinigung abgelaufener Daten
4. Häufig gestellte Fragen (FAQ)
Allgemeine Fragen
F: Wie oft muss ich mich neu anmelden?
A: Eine Anmeldung bleibt bis zu 365 Tage gültig. Danach werden Sie automatisch aus Sicherheitsgründen abgemeldet und müssen sich neu authentifizieren.
F: Warum muss ich mich in jedem Browser neu anmelden?
A: Aus Sicherheitsgründen ist jede Anmeldung browser-spezifisch. Wenn Sie z.B. auf Ihrem Computer sowohl Chrome als auch Firefox nutzen, benötigen beide Browser eine separate Anmeldung. Gleiches gilt für verschiedene Geräte (PC, Tablet, Smartphone).
F: Warum funktioniert mein Link nicht mehr?
A: Dies kann mehrere Gründe haben:
Der Link ist älter als 1 Stunde
Sie haben zwischenzeitlich einen neuen Link angefordert
Der Link wurde bereits verwendet
Sie haben den Link nicht vollständig kopiert
F: Was passiert, wenn ich zu viele Links anfordere?
A: Aus Sicherheitsgründen ist nur eine Anfrage pro Minute möglich. Warten Sie 60 Sekunden, bevor Sie einen neuen Link anfordern.
Sicherheitsfragen
F: Wie erkenne ich echte Anmelde-E-Mails?
A: Unsere Authentifizierungs-E-Mails:
Kommen ausschließlich von [email protected]
Enthalten einen deutlich gekennzeichneten Anmelde-Button
Zeigen den vollständigen Link zum Kopieren
Fordern Sie nie auf, persönliche Daten preiszugeben
F: Warum verwenden Sie keine Passwörter?
A: Unser System ist sicherer als klassische Passwörter:
Keine gespeicherten Passwörter, die gestohlen werden könnten
Jede Anmeldung erfordert Zugriff auf Ihre E-Mail
Keine Passwörter zum Merken oder Aufschreiben
Kein Risiko durch wiederverwendete Passwörter
F: Ist meine Sitzung auf allen Geräten und Browsern aktiv?
A: Nein, jeder Browser auf jedem Gerät benötigt eine eigene Anmeldung. Dies erhöht die Sicherheit erheblich, falls eines Ihrer Geräte oder ein Browser kompromittiert wird. Die Sitzungen anderer Browser bleiben davon unberührt.
F: Kann jemand meinen Link abfangen?
A: Der Link ist durch mehrere Mechanismen geschützt:
TLS-Verschlüsselung während der Übertragung
Einmalige Verwendung
1 Stunde Gültigkeit
Zugriff nur über Ihr E-Mail-Konto möglich
Problembehebung
F: Warum erhalte ich keinen Link?
A: Überprüfen Sie bitte:
Ob Sie die korrekte E-Mail-Adresse eingegeben haben
Ihren Spam-Ordner
Ob Ihre E-Mail-Adresse als Mitglied registriert ist
E-Mails erreichen Sie in der Regel innerhalb von 60 Sekunden
F: Was mache ich bei Verdacht auf Missbrauch?
A: Bei verdächtigen Aktivitäten:
Melden Sie sich sofort unter [email protected]
Wir können vorsorglich alle aktiven Sitzungen sperren
Sie erhalten Unterstützung bei der Absicherung Ihres Zugangs
F: Was mache ich, wenn ich eine neue E-Mail-Adresse habe?
A: Kontaktieren Sie uns von Ihrer alten E-Mail-Adresse aus unter [email protected]. Nach Verifizierung aktualisieren wir Ihre Kontaktdaten.
5. Support und Hilfe
Kontakt
Bei Problemen mit der Anmeldung stehen wir Ihnen zur Verfügung:
- E-Mail: [email protected]
Änderung Ihrer E-Mail-Adresse
Wenn Sie Ihre E-Mail-Adresse ändern möchten:
- Senden Sie eine E-Mail von Ihrer bisherigen Adresse an [email protected]
- Unser Support-Team wird die Änderung nach Verifizierung durchführen
- Nach Rückmeldung können Sie sich mit Ihrer neuen E-Mail-Adresse anmelden
Letzte Aktualisierung: Oktober 2025