Advocadus Diaboli schrieb am 5. April 2006 11:03
> Ein möglicher Ausweg aus dem Dilema wäre der flächendeckende Einsatz
> von Chipkarten als Passwort-Speicher und zur Authentifizierung. Denn
> wenn zur Authentifizierung nicht nur die Kenntnis eines
> "Geheimnisses" (Passwort) notwendig ist, sondern auch ein
> "Gegenstand" (vergleichbar mit einem Schlüssel), dann dürfte es
> ungleich schwieriger sein, sich unbemerkt einzuloggen. Natürlich wird
> es auch Leute geben, denen nicht auffällt, daß ihr Schlüssel weg
> ist...
ein anderer Ausweg waehre, das Passwort zwischen Benutzereingabe und
Übermittling zu ändern. Ich denke da, z.b. mittels des Passwortes und
der Webadresse automatisch ein neues Passwort zu generieren, welches
dann verwendet wird. Manuel geht das sehr einfach in dem ich z.b.
mein normales Passwort mit Teilen der Webaddresse mische.
Der Benutzer braucht sich drotzdem nur ein Passwort zu merken und
drotzdem wird fuer jeden Account ein anderes verwendet.
Beispiel: passwort ist ck32isw gefolgt vom 1,3 und 5 Buchstaben der
Webadresse, z.b. heise, also ist das Passwort für heise ck32iswhie.
Das ist nur ein einfaches Beispiel. Sowas lässt sich auch
automatisieren, genauso wie es bei phishing passiert, wird im
Hintergrund aus dem Passwort und der Addresse oder IP oder sonst was
ein neues gebildet, das dann für den Benutzer immer gleich ist, aber
fuer jede Site anders.
> Ein möglicher Ausweg aus dem Dilema wäre der flächendeckende Einsatz
> von Chipkarten als Passwort-Speicher und zur Authentifizierung. Denn
> wenn zur Authentifizierung nicht nur die Kenntnis eines
> "Geheimnisses" (Passwort) notwendig ist, sondern auch ein
> "Gegenstand" (vergleichbar mit einem Schlüssel), dann dürfte es
> ungleich schwieriger sein, sich unbemerkt einzuloggen. Natürlich wird
> es auch Leute geben, denen nicht auffällt, daß ihr Schlüssel weg
> ist...
ein anderer Ausweg waehre, das Passwort zwischen Benutzereingabe und
Übermittling zu ändern. Ich denke da, z.b. mittels des Passwortes und
der Webadresse automatisch ein neues Passwort zu generieren, welches
dann verwendet wird. Manuel geht das sehr einfach in dem ich z.b.
mein normales Passwort mit Teilen der Webaddresse mische.
Der Benutzer braucht sich drotzdem nur ein Passwort zu merken und
drotzdem wird fuer jeden Account ein anderes verwendet.
Beispiel: passwort ist ck32isw gefolgt vom 1,3 und 5 Buchstaben der
Webadresse, z.b. heise, also ist das Passwort für heise ck32iswhie.
Das ist nur ein einfaches Beispiel. Sowas lässt sich auch
automatisieren, genauso wie es bei phishing passiert, wird im
Hintergrund aus dem Passwort und der Addresse oder IP oder sonst was
ein neues gebildet, das dann für den Benutzer immer gleich ist, aber
fuer jede Site anders.