Moin Moin!

da ih mich ab und zu von fremden rechnern in mein cms einloggen muss, würde ich da sehr gern noch als sicherheitskomponente ne art software token einführen...

Wenn dich die Paranoia packt, nimm ein Hardware-Token, das gibt's z.B. von RSA (SecurID). Mit Token und Passwort hast Du Zugriff auf Deinen Server, ohne oder mit nur einem von beidem nicht.

Ein Software-Token (ebenso wie alle Keys und Zertifikate auf externen Massenspeichern) könnte ein Angreifer auf einem vorbereiteten Rechner KOMPLETT abgreifen, das wäre damit absolut nutzlos. Das Passwort greift er ohnehin per Keylogger ab. Beim Hardware-Token müßte der Angreifer Dir auch noch den Token klauen, der an Deinem Schlüsselbund hängt oder in Deiner Brieftasche steckt. Die guten Token nehmen auch gleich das Passwort selbst an, damit ist auch der Keylogger nutzlos.

Vergiß auch nicht, dass Rubber-hose Cryptanalysis ein extrem wirksamer Angriff sein kann.

Wenn Du also sehr viel Wert auf die Sicherheit Deiner Daten legst, sorgst Du dafür, dass der Token im Notfall sehr schnell, sehr gründlich und sehr sicher zerstört werden kann. Und vor allem benutzt Du keine fremden Rechner, sondern einen eigenen. Das gilt auch für den Internet-Zugang.

Alexander