nicht angemeldet
Guten Tag,
hallo
Genügend Feedback, warum das keine so gute Idee ist, hast du nun ja bekommen. Ich sehe das im Übrigen genauso.
Da ich aber die Idee prinzipiell interessant finde, überlegte ich folgende Vorgehensweise:
schön ;)
- Ich schreibe ein Skript, welches nach dessen Aufruf ein Einmalpasswort an mein Mobiltelefon schickt, egal ob per SMS, E-Mail oder E-Mail über SMS. Das Einmalpasswort sollte dabei recht stark sein, denn daran hängt in einer feindlichen Umgebung nun der eigentliche Schutz.
ähm kurze zwischenfrage: wenn dieses script aber mit auf meinem webspace liebt kann das doch auch n hacker theoretisch hacken und dann hat er die funktionsweeise des scriptes...oder sehe ich da was falsch bzw meintest du das iwie anders?
- Das Skript schreibt das Passwort in eine Datei (oder Datenbank).
- Beim Login in meine eigentliche Applikation muss nun nicht nur das Applikationspasswort, sondern auch das Einmalpasswort korrekt angegeben werden.
- Das Einmalpasswort wird von dem System / aus der Datenbank entfernt.
ähm kurze zwischenfrage
Zusätzlich würde ich das Applikationspasswort noch in kurzen Abständen ändern. Außerdem sollte in einem bestimmten Zeitraum nur eine kleine Anzahl von Einmalpasswörtern generiert werden dürfen.
Eure/deine Meinung?
toll!
also ich verstehe das so:
-> der rechner ist bei mir zu hause. auf diesem ist die seite mit den daten die ich benötige. auf meinem normalen webspace lass ich ein script laufen, welches bei aufruf (ggf mittels pwd gesichert) mit eine sms schickt. zusätzlich schreibt ddas script eine txt mit dem passwort in blowfish verschlüsselt und dazu einen timestamp von 60 sekunden z.b.
der homerechner geht nach eingabe der zugangsdaten auf den entfernten server (SSL) und liest die txt aus, vergleicht das pwd und prüft ob die zeit abgelaufen ist.
so würd ich das machen, meinung?
grüße
cr