Sicherheit im Club Daguerre

Dokumentation des Authentifizierungssystems

Inhaltsverzeichnis

  1. Überblick und Grundlagen
  2. Der Anmeldeprozess im Detail
  3. Technische Sicherheitsmerkmale
  4. Häufig gestellte Fragen (FAQ)
  5. Support und Hilfe


1. Überblick und Grundlagen

Der Club Daguerre setzt auf ein modernes und sicheres Magic Link-Authentifizierungssystem für den Zugang zum Mitgliederbereich. Dieses System wurde speziell entwickelt, um Ihnen einen komfortablen und gleichzeitig hochsicheren Zugang zu ermöglichen.

Zentrale Sicherheitsmerkmale:

  • Keine Passwörter zum Merken oder Verwalten
  • Sichere Anmeldelinks mit zeitlich begrenzter Gültigkeit (1 Stunde)
  • Sichere Überprüfung der Mitgliedschaft
  • Verschlüsselte Verbindungen auf allen Ebenen
  • Alternative Anmeldung mit 6-stelligem Code verfügbar


Was wir niemals tun werden:

  • Nach einem Passwort fragen
  • Sie auffordern, persönliche oder finanzielle Informationen preiszugeben
  • Unaufgefordert Anmeldelinks versenden
  • Sie per E-Mail um sensible Daten bitten


2. Der Anmeldeprozess im Detail

Schritt-für-Schritt Ablauf (Magic Link):

Erste Stufe: E-Mail-Identifikation

  • Besuchen Sie https://club-daguerre.eu
  • Geben Sie Ihre registrierte E-Mail-Adresse ein
  • Das System überprüft automatisch Ihre Mitgliedschaft


Zweite Stufe: Magic Link per E-Mail

  • Sie erhalten eine E-Mail mit einem sicheren Anmeldelink
  • Absender ist immer [email protected]
  • Der Link ist 1 Stunde lang gültig
  • Jeder Link kann nur einmal verwendet werden


Erfolgreiche Anmeldung

  • Klicken Sie auf den Link in der E-Mail
  • Sie werden automatisch angemeldet
  • Ihre Sitzung bleibt bis zu 365 Tage aktiv
  • Aus Sicherheitsgründen müssen Sie sich nach dieser Zeit neu anmelden

Alternative: Code-basierte Anmeldung

Für Nutzer, die die klassische Methode bevorzugen:

  • Wählen Sie "Zur Code-Anmeldung" auf der Anmeldeseite
  • Sie erhalten einen 6-stelligen Code per E-Mail
  • Der Code ist 10 Minuten gültig
  • Geben Sie den Code auf der Webseite ein


3. Technische Sicherheitsmerkmale

Magic Link-Generation

  • 32 Byte URL-sicherer Zufalls-Token
  • Kryptographisch sicherer Zufallsgenerator
  • Automatische Ungültigkeit nach 1 Stunde
  • Einmalige Verwendung (wird nach Nutzung gelöscht)
  • Ein Link pro E-Mail-Adresse pro Zeitfenster

Verbindungssicherheit

  • TLS 1.3 Verschlüsselung
  • HTTPS-Enforcing auf allen Verbindungen
  • HTTP Strict Transport Security (HSTS)
  • Secure Cookie Flags (HttpOnly, Secure, SameSite)


Die Club Daguerre interne Webseite erhielt vom unabhängigen Prüfinstitut SSL Labs mit A+ die bestmögliche Note für Sicherheit. Das Zertifikat finden Sie hier.

Session-Management

  • Server-seitige Session-Validierung mit Redis
  • Verschlüsselte Session-Token
  • Bis zu 365 Tage maximale Session-Dauer
  • Automatische Session-Invalidierung bei:
    • Ablauf der Zeitspanne
    • Expliziter Abmeldung
    • Manueller Löschung durch Administrator

Browser-basierte Authentifizierung

Wichtig: Die Anmeldung erfolgt pro Browser auf jedem Gerät separat.

Beispiel:

  • Sie melden sich auf Ihrem Laptop in Chrome an → Zugang aktiv in Chrome
  • Öffnen Sie Firefox auf demselben Laptop → Neue Anmeldung erforderlich
  • Nutzen Sie Safari auf Ihrem iPad → Neue Anmeldung erforderlich
  • Öffnen Sie Chrome auf Ihrem Smartphone → Neue Anmeldung erforderlich


Jeder Browser speichert seine eigene Sitzung unabhängig. Dies erhöht die Sicherheit, bedeutet aber auch, dass Sie sich in jedem Browser, den Sie nutzen möchten, einmal anmelden müssen.

Brute-Force-Schutz

  • Ratenbegrenzung: 1 Anfrage pro Minute pro E-Mail-Adresse
  • Cooldown-Periode zwischen Anfragen
  • Verhinderung von Spam-Anfragen

Datenspeicherung

  • Keine Speicherung von Passwörtern
  • Temporäre Speicherung aktiver Links (max. 1 Stunde)
  • Verschlüsselte Session-Informationen in Redis
  • Automatische Bereinigung abgelaufener Daten


4. Häufig gestellte Fragen (FAQ)

Allgemeine Fragen

F: Wie oft muss ich mich neu anmelden?
A: Eine Anmeldung bleibt bis zu 365 Tage gültig. Danach werden Sie automatisch aus Sicherheitsgründen abgemeldet und müssen sich neu authentifizieren.

F: Warum muss ich mich in jedem Browser neu anmelden?
A: Aus Sicherheitsgründen ist jede Anmeldung browser-spezifisch. Wenn Sie z.B. auf Ihrem Computer sowohl Chrome als auch Firefox nutzen, benötigen beide Browser eine separate Anmeldung. Gleiches gilt für verschiedene Geräte (PC, Tablet, Smartphone).

F: Warum funktioniert mein Link nicht mehr?
A: Dies kann mehrere Gründe haben:

Der Link ist älter als 1 Stunde

Sie haben zwischenzeitlich einen neuen Link angefordert

Der Link wurde bereits verwendet

Sie haben den Link nicht vollständig kopiert


F: Was passiert, wenn ich zu viele Links anfordere?
A: Aus Sicherheitsgründen ist nur eine Anfrage pro Minute möglich. Warten Sie 60 Sekunden, bevor Sie einen neuen Link anfordern.

Sicherheitsfragen

F: Wie erkenne ich echte Anmelde-E-Mails?
A: Unsere Authentifizierungs-E-Mails:

Kommen ausschließlich von [email protected]

Enthalten einen deutlich gekennzeichneten Anmelde-Button

Zeigen den vollständigen Link zum Kopieren

Fordern Sie nie auf, persönliche Daten preiszugeben


F: Warum verwenden Sie keine Passwörter?
A: Unser System ist sicherer als klassische Passwörter:

Keine gespeicherten Passwörter, die gestohlen werden könnten

Jede Anmeldung erfordert Zugriff auf Ihre E-Mail

Keine Passwörter zum Merken oder Aufschreiben

Kein Risiko durch wiederverwendete Passwörter


F: Ist meine Sitzung auf allen Geräten und Browsern aktiv?
A: Nein, jeder Browser auf jedem Gerät benötigt eine eigene Anmeldung. Dies erhöht die Sicherheit erheblich, falls eines Ihrer Geräte oder ein Browser kompromittiert wird. Die Sitzungen anderer Browser bleiben davon unberührt.

F: Kann jemand meinen Link abfangen?
A: Der Link ist durch mehrere Mechanismen geschützt:

TLS-Verschlüsselung während der Übertragung

Einmalige Verwendung

1 Stunde Gültigkeit

Zugriff nur über Ihr E-Mail-Konto möglich

Problembehebung

F: Warum erhalte ich keinen Link?
A: Überprüfen Sie bitte:

Ob Sie die korrekte E-Mail-Adresse eingegeben haben

Ihren Spam-Ordner

Ob Ihre E-Mail-Adresse als Mitglied registriert ist

E-Mails erreichen Sie in der Regel innerhalb von 60 Sekunden


F: Was mache ich bei Verdacht auf Missbrauch?
A: Bei verdächtigen Aktivitäten:

Melden Sie sich sofort unter [email protected]

Wir können vorsorglich alle aktiven Sitzungen sperren

Sie erhalten Unterstützung bei der Absicherung Ihres Zugangs


F: Was mache ich, wenn ich eine neue E-Mail-Adresse habe?
A: Kontaktieren Sie uns von Ihrer alten E-Mail-Adresse aus unter [email protected]. Nach Verifizierung aktualisieren wir Ihre Kontaktdaten.


5. Support und Hilfe

Kontakt

Bei Problemen mit der Anmeldung stehen wir Ihnen zur Verfügung:

Änderung Ihrer E-Mail-Adresse

Wenn Sie Ihre E-Mail-Adresse ändern möchten:

  1. Senden Sie eine E-Mail von Ihrer bisherigen Adresse an [email protected]
  2. Unser Support-Team wird die Änderung nach Verifizierung durchführen
  3. Nach Rückmeldung können Sie sich mit Ihrer neuen E-Mail-Adresse anmelden


Letzte Aktualisierung: Oktober 2025