|
Diese Diskussion wurde archiviert.
Es können keine neuen Kommentare abgegeben werden.
|
 |
|
|
|
|
|
|
|
Coole Idee.. könnte auch ohne Probleme browserseitig implementiert werden (Kontextmenu für <input type="password">, um das Teil ein- oder auszuschalten), Dann irgend nen Cache, der die Einstellungen speichert, und fertig!
Problem dabei: Was ist, wenn einer seine Website auf eine neue Domain zügelt? Was ist, wenn der Anbieter nur einige wenige Zeichen als Passwort erlaubt?
tL
--
Spammers: look at this fake address list
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
naja, das mit der neuen domain ist nicht so das problem.
man kann ja eine funktion zum manuell berechnen einbauen.
wer nur kueze passwörter erlaubt, ist natürlich blöd...(hackt mich mentalität *scrn*)
Allo
|
|
|
|
|
|
|
|
|
|
|
|
|
Ja logisch muss das Browserseitig geschehen, sonst bringts ja nichts (jedenfalls nichts gegen Phishing)
Aber die Problematik mit dem Domain zügeln ist gar nicht so unproblematisch. Wenn ein solcher PlugIn für den "Massenmarkt" bereit sein soll, muss das schlau gelösst werden.
Auch sehe ich Probleme bei Webseiten die über verschiedene Domains erreichbar sind
md5($passwort + www.symlink.li) != md5($passwort + www.symlink.ch)
Hat jemand eine Idee? Die Domain ist irgendwie die einzige Konstante die eine Webseite auszeichnet. Oder kennt jemand ein Konstanteres Element einer Website als die Domain?
--
open minds - open source - open future - close windows
|
|
|
|
|
|
|
|
|
|
|
|
|
Aufgelöste IP-Adresse vielleicht?
|
|
|
|
|
|
|
|
|
|
|
|
|
Leider nicht...
[dv@loona ~]$ nslookup -sil dell.com
Server: 172.17.35.200
Address: 172.17.35.200#53
Non-authoritative answer:
Name: dell.com
Address: 143.166.224.230
Name: dell.com
Address: 143.166.83.231
tL
--
Spammers: look at this fake address list
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Thursday 23. September 2004, 14:57 MEW (#4)
|
|
|
|
|
Mal von dem Domainproblem abgesehen, noch weitere Probleme. "Mein PW geht nicht" wird wahrscheinlich der Supportfall nr 1, dies weil von einem anderen PC eingelogt wird, welcher noch einen alten Browser verwendet bzw. Plugin nicht installiert hat.
Die Passwort vergessen Funktion kann man glattwegs vergessen!
Ausserdem, wenn man sich schon ein Plugin installieren muss, kann man gleich ein anderes Tool nehmen welches die Passwörter für einem managed!
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
> "Mal von dem Domainproblem abgesehen, noch weitere Probleme."
Also... ich finde die Idee absolute genial und sehe nur akzeptierbare bzw. lösbare Probleme...
> "'Mein PW geht nicht' wird wahrscheinlich der Supportfall nr 1, dies weil von einem anderen PC eingelogt wird, welcher noch einen alten Browser verwendet bzw. Plugin nicht installiert hat."
Wenn dem Benutzer eine kurze Erklärung inkl. Verweis auf z.B. eine erklärende Wikipedia-Seite gestellt wird, dürfte sich dieses Problem minimieren lassen.
> "Die Passwort vergessen Funktion kann man glattwegs vergessen!"
Es gibt schon heute Systeme, bei denen das Passwort nicht mehr im Klartext in der Datenbank hinterlegt wird. Zum Beispiel wird ein neues Passwort generiert, per E-Mail ein Code und Verweis verschickt, unter dem man nach Eingabe des mitgeschickten Codes diese Änderung gültig macht und sich dann mit dem neuen Passwort einloggen kann.
> "Ausserdem, wenn man sich schon ein Plugin installieren muss, kann man gleich ein anderes Tool nehmen welches die Passwörter für einem managed!"
Aber auch nur vorerst, denn später wird die Software (u.a. Browser, Internet-Banking, Web-Tools, etc.) diese Art der Passwort-Übertragung nativ unterstützen.
Außerdem installiert man ein Plug-In nur einmal und gut ist. Das ist immernoch weniger Aufwand, als seinem Anwalt zu erklären, warum man dieses 19.999 € teure Auto nicht für eine Wildfremde Person ersteigert hat...
-~-
Jeder Fortschritt bringt auch Nachteile bzw. "schwierige Zeiten" mit sich; möchtest du deswegen auf jegliche Weiterentwicklung verzichten? Wohl eher nicht, gell? ;-)
Ist nicht böse gemeint, nur finde ich diese Idee zu genial, als dass ich nicht dafür debattieren möchte... ;-)
|
|
|
|
|
|
|
|
|
|
|
|
|
|
> Es gibt schon heute Systeme, bei denen das Passwort nicht mehr im Klartext in der Datenbank hinterlegt wird.
Ähm, ist das heute nicht Standard? MD5 hash ablegen, und jeweils vergleichen? Wie auch immer...
> Aber auch nur vorerst, denn später wird die Software (u.a. Browser, Internet-Banking, Web-Tools, etc.) diese Art der Passwort-Übertragung nativ unterstützen.
Dann müsste aber ein Standard her, und dieser kann muss dann von jedem Browser unterstüzt werden...
Die Technik für die Masse zu realisieren ist innerhalb kurzer Zeit unmöglich. Die Plug-Ins sind nur brauchbar für die Leute, die wissen was dahintersteckt und beim Fehlerfall wissen, woran es liegen kann (Websitebetreiber hat IP gewechselt oder wie auch immer..)
Aber du hast schon recht, gut das darüber geredet wird, und das versuche gemacht werden...
--
open minds - open source - open future - close windows
|
|
|
|
|
|
|
|
|
Von Anonymer Feigling am Friday 24. September 2004, 00:06 MEW (#9)
|
|
|
|
|
|
Die "Passwort vergessen" Funktion ist dort, wo es wirklich drauf ankommt (d.h. dort, wo Phishing interessant ist), auch nur noch Blödsinn. Was auf dem Zielserver nämlich nicht gespeichert ist, kann auch nicht unbefugt dort abgegriffen werden. Der Hashing-Ansatz ist deswegen interessant, weil Hashfunktionen, die als sicher gelten, viel schneller zu berechnen sind als irgendein Signaturverfahren.
Asymmetrische Authentifikation ist aber trotzdem interessant (wird z.T. z.B. bei SSH verwendet). Der Server kennt dann nur den Public Key des Users und mit dem ist es unmöglich, sich gültig zu authentifizieren und im Bedarfsfall könnte man dem User sogar nachweisen, dass er sich entweder selbst eingeloggt oder unvorsichtig mit dem Private Key umgegangen ist (z.B. kann ein User am Anfang einen Challenge und später alle Handlungen, die er vornimmt, signieren, das wäre für Banken interessant).
|
|
|
|
|
|
