Moin Moin!

»» Was genau soll dieses Softwaretoken denn genau können, bzw. welches Sicherheitsproblem soll die Einführung eines solchen Tokens lösen?

er soll einfach neben benutzer und passwort eine variable sich ändernde 3. sicherheitskennung abfragen. da ich nicht weiß ob jemand mein pwd oder benutzername mitloggt, könnte ich dieses problem soo umgehen...

Nein, kannst Du nicht. Der fremde Rechner ist vollständig kompromittiert, ebenso alle Router, Proxys und Firewalls, die Dir von dort bis zu Deinem Server im Weg stehen. Keylogger gehört sowieso dazu, und Dein Software-Token-Programm wird natürlich in einen versteckten Bereich zur späteren Analyse kopiert. Der gesamte Netzwerk-Traffic wird aufgezeichnet.

usb ist eine variante, jedoch benötige ich zwingend eine ungebundene variante, da ich nicht überall (z.b. im geschäft) usb sticks nutzen kann..

Wie willst Du dann ein SW-Token implementieren, wenn Du keine SW ausführen kannst? Willst Du den Token-Generator aus dem WWW herunterladen? Wo der Angreifer die Software mal eben ganz entspannt am Proxy kopieren kann?

Das funktioniert so nicht.

Vertraue keinen fremden Rechnern, vertraue keinen fremden Netzen, und vor allem: Vertraue nicht in Deine Fähigkeiten, angriffssichere Software zu schreiben. Damit sind schon Leute gescheitert, die das jahrelang geübt haben (und natürlich Amateure).

Alexander