Guten Tag,

ähm kurze zwischenfrage: wenn dieses script aber mit auf meinem webspace
liebt kann das doch auch n hacker theoretisch hacken und dann hat er die
funktionsweeise des scriptes...oder sehe ich da was falsch bzw meintest du
das iwie anders?

Wenn ein Einbrecher deinen Webspace kompromittieren kann, brauchst du auch kein Einmalpasswort mehr. Dann kann er vermutlich auch deine Hauptapplikation kompromittieren.

Sollte ein Angreifer dein Skript finden, kann er nichts anderes tun, als _dir_ neue Einmalpasswörter an dein Mobiltelefon schicken. Rufst du das Einmalpasswort-Skript aus einer feindlichen Umgebung heraus auf, ist es egal, ob du ein Passwort angibst, oder nicht. Denn wenn ein Keylogger installiert ist oder dein Netzwerktraffic mitgeschnitten wird, ist es danach eh bekannt.

Du könntest dein Einmalpasswort noch mit einem weiteren, nur dir bekanntem Passwort, prefixen. Dann kann jemand, der zwar dein Mobiltelefon hat, noch nichts mit den Einmalpasswörtern anfangen.

Um sich bei deiner Hauptapplikation anmelden zu können, benötigt man dann:
1. Username der Hauptapplikation
2. Passwort der Hauptapplikation
3. Einmalpasswort auf dem Mobiltelefon
4. Passwort-Prefix aus deinem Kopf

Problematisches wird es, wenn jemand Zugriff auf dein Mobiltelefon oder die übertragenen Daten hat und 1,2 und 4 kennt.

Gruß
Christoph Jeschke