Hello,

… Eben deshalb moniere ich hier so hartnäckig (und auch gegen Gegenwind)

wozu ich z.Zt. weder Lust noch Zeit habe, daher mein Lob.

Ich finde, die hier vorgeschlagene Lösung geht für den Anwendungsfall „Spiel“ viel zu weit. Wenn man so etwas aus der Schublade ziehen kann, oder wenn man es geschenkt bekommt, warum nicht.

Allerdings muss ich hier jetzt auch diese recht sichere Lösung kritisieren: sie bietet genauso wenig Sicherheit, wie mein Vorschlag mit den "geheimen Dateinamen", wenn jemand das Passwort ausspäht oder verrät. Hier wäre dann wohl eine „Zweifaktor Authentisierung“ erforderlich, mit Anmeldung, Registrierung der Handynummer für eine Einmal-TAN, etc.. Will man das?

Es ist schade, dass Janosch und Du die Anforderungen des OP überhaupt nicht berücksichtigen wollt. Er hat ausdrücklich nach einer Möglichkeit der Authorisierung ohne Authentifizierung gefragt. Ein "geheimer Dateiname" ist aber keine gültige Authorisierung, sondern nur "Safety by Obscurity". Warum sich das schon auf der technischen Ebene verbietet, hat 1unitedpower ausführlich beschrieben!

"Safety" by Obscurity # Security!  

Dass eine "One Credential Authorization" auf der menschlichen Ebene Probleme geben kann, ist vollkommen klar. Das kann aber eine "Two Credentials Solution" auch noch. Solange man Tokens (Username, Passwort, Sessionkey, ...) weitergeben kann, ist dies ebenfalls keine "sichere Lösung". Schließlich wird der Username in den allermeisten Systemen immer noch sichtbar eingegeben. Der stellt also schon mal keinen Sicherheitsfaktor dar. Ganz im Gegenteil: Wenn ich jemanden ärgern will, uns seine Kontonummer kenne, dann kann ich ihn bei den meisten Bankingsystemen für mindestens 24 Stunden aus seinem Banking aussperren, indem ich einfach mehrmals versuche, mich unter seinem Namen/seiner Kontonummer mit falschem Passwort anzumelden...

Ihr Beide bringt hier einfach euer Bauchgefühl und die technisch anerkannten Regeln durcheinander!

Liebe Grüße
Tom S.