Guten Tag,

er soll einfach neben benutzer und passwort eine variable sich ändernde 3.
sicherheitskennung abfragen. da ich nicht weiß ob jemand mein pwd oder
benutzername mitloggt, könnte ich dieses problem soo umgehen...

Genügend Feedback, warum das keine so gute Idee ist, hast du nun ja bekommen. Ich sehe das im Übrigen genauso.

Da ich aber die Idee prinzipiell interessant finde, überlegte ich folgende Vorgehensweise:
1. Ich schreibe ein Skript, welches nach dessen Aufruf ein Einmalpasswort an mein Mobiltelefon schickt, egal ob per SMS, E-Mail oder E-Mail über SMS. Das Einmalpasswort sollte dabei recht stark sein, denn daran hängt in einer feindlichen Umgebung nun der eigentliche Schutz.
2. Das Skript schreibt das Passwort in eine Datei (oder Datenbank).
3. Beim Login in meine eigentliche Applikation muss nun nicht nur das Applikationspasswort, sondern auch das Einmalpasswort korrekt angegeben werden.
4. Das Einmalpasswort wird von dem System / aus der Datenbank entfernt.

Zusätzlich würde ich das Applikationspasswort noch in kurzen Abständen ändern. Außerdem sollte in einem bestimmten Zeitraum nur eine kleine Anzahl von Einmalpasswörtern generiert werden dürfen.

Eure/deine Meinung?

Gruß
Christoph Jeschke