Menü
aus ein
Ansicht umschalten Baum an
Avatar von Mayne
  • Mayne

mehr als 1000 Beiträge seit 18.09.2000

Re: Vorschlag: Login nur mit TAN, eventuell per SMS zugestellt

/170 schrieb am 28. November 2003 13:04

> wieso werden für so wichtige Server keine TANs genommen und jedes
> Login per SMS bestätigt?

Passwortwechsel automatisch nach jedem Login (sollte irgendwie
entsprechend hinzupatchen sein), Passwort =
sha1sum(Zaehler++."secret"). Dann hast Du jedesmal ein neues
Passwort, mußt Dir aber natürlich den Zaehlerstand und Secret merken
und auf Client-Seite ein sha1sum haben. Nicht ganz toll ist auch, daß
"secret" natürlich im Klartext auf dem Server liegen muß. Da das aber
nur root/login/PAM lesen können muß, egal.

Alternativ gibt's diverse Zeroknowledge-Verfahren (Kette von sha1sums
generieren, erstes zu benutzende Paßwort ist letzte sha1sum, jeweils
nächstes die sha1sum, die auf das "alte" Paßwort geführt hat - dann
weiß der Server gar nichts :-).

Bewerten
- +
Anzeige