Abschaffung des "normalen" Losepasswortes

Wetti

Wetti

Xclusivslots.de
ID: 212016
L
21 April 2006
3.056
218
Hallo,

es erklärt sich ja von alleine.
Das allgemeine PW wurde durch abfangen/speichern oft missbraucht, ...
um den ganzen ein Ende zu bereiten bin ich zu 100 % dafür nur noch das generierbare PW einzuführen.

Dazu hätte ich noch den Vorschlag, dass es nur für eine Transaktion funktioniert.
Bis jetzt ist es ja 10 Min lang gültig!


Gruß
 
Sollte doch auch klamm nutzen, da dadurch wohl ein paar mehr Hits generiert werden.
 
Wetti schrieb:
Das allgemeine PW wurde durch abfangen/speichern oft missbraucht
Zum Vergrößern anklicken....
Kannst du das belegen?

Ich behaupte, dass solche Fälle nur äußerst selten vorkommen. Ich kann mich jedenfalls an keinen mehr erinnern. Häufiger kam es vor, dass User nur 1 Passwort für alles benutzen, ein Hacker sich auf klamm einloggt, weil er dieses Passwort kennt und dann Schaden anrichtet. Und daran kann ich mich erinnern.

Wir hatten diese Diskussion schon mehrmals. Ich möchte nicht gezwungen werden, für jede Transaktion auf klamm gehen zu müssen. Wer seinen Account schützen will, kann das Losepasswort ja "löschen", aber das soll doch bitte meine eigene Entscheidung bleiben.

edit:
https://mary.klamm.de:8282/forum/threads/404358/
 
Zuletzt bearbeitet:
Wetti schrieb:
Das allgemeine PW wurde durch abfangen/speichern oft missbraucht, ...
um den ganzen ein Ende zu bereiten bin ich zu 100 % dafür nur noch das generierbare PW einzuführen.
Zum Vergrößern anklicken....
Nur mal zum Festhalten: Hier wurde das "Einmal-Losepasswort" abgefangen bzw durch eine Phishingseite erlangt.

Der Vorschlag bringt also keinen Nutzen, wenn der Inhaber der Phshingseite schnell genug ist. Das liegt daran, dass es eben kein Einmal-Losepasswort ist, sondern nur ein Kurzzeit-Losepasswort: es kann innerhalb von 10 Minuten mehrmals benutzt werden.

(klamm-treuhand.de ist eine Phishingseite. Es ist nicht meine Seite.)
 

Anhänge

  • moneemailb4511.jpg
    moneemailb4511.jpg
    77,5 KB · Aufrufe: 32
Ja da hats mich in dem Fall erwischt. Das wär doch eine wunderbare Gelegenheit für ein Einmalpasswort, funktioniert 1 mal und nicht dasselbe 10 Min lang.
 
So hatte ich es ja auch wie oben zu sehen angedacht.

Gut, mir reicht ein Ja oder Nein von Lukas und dann ist gut.
Diskussionsthemen sind hier genug!

lg

Wetti
 
Finde die Idee jetzt eigtl. nicht schlecht. Ich persönlich benutze regulär eh immer das EW-Passwort.

Aber:
Es gibt sicherlich auch Nutzer die ihre gesammelten Lose auf einigen Seiten verteilen (zum Beispiel um diese in den Walzen zu verbraten, Anlegen zu wollen oder für Werbebuchungen). Je nach Umfang kann ich mir dies wiederum als recht nervig vorstellen jedes mal den Tab zu wechseln und erneut "Generieren - Copy & Paste" anwenden zu müssen... Oder wenn man die verteilten Lose von den ver. Seiten wieder einsammeln will.

Wenn man besorgt ist dass jemand doch das EW-Passwort nach einer Transaktion "abgegriffen" haben könnte, so erstellt man doch einfach schnell ein neues...

Wetti schrieb:
[...]Gut, mir reicht ein Ja oder Nein von Lukas und dann ist gut.
Diskussionsthemen sind hier genug![...]
Zum Vergrößern anklicken....

Das reicht dir aus, aber Sinn und Zweck eines solchen Vorschlags ist es auch, dass man darüber innerhalb der Community auch diskutiert....;)
 
Jupp, ich versteh dich, doch hast du schon mal erlebt das Lukas eine Entscheidung revidert hat? ...

Erst mal ne Antwort bekommen. Ich erwarte mir nichts, leider, aber ist so.


Grüße
 
Wie Mone schon gesagt hat ist das LosePW in 90% der Fälle nicht der Angriffspunkt. Es tatsächlich nur einmalig verwendbar zu machen geht schlecht, denn für eine Transaktion einer Loseseite sind ggf. mehrere EF-Abfragen mit diesem PW notwendig (je nach Programmierung der Loseseite).

Man könnte höchstens sowas bauen wie
"Ab Erstverwendung des Einweg-PW gilt es für weitere 30 Sekunden".
So könnte die Loseseite X Anfragen machen und Mißbrauch wäre trotzdem etwas eingeschränkt.

ABER: Wenn man z.B. schon auf eine Phising-Seite reinfällt und dort ein 1x Passwort angibt, dann kann diese Seite auch bei einmaliger Freigabe schon die Lose abbuchen. Da bringt das also nichts. Und ich denke Phishing-Seiten, die das Einweg-PW speichern und innerhalb von 10min dann nochmal verwenden sind selten ... wenn, dann gleich.
 
Wetti schrieb:
Das allgemeine PW wurde durch abfangen/speichern oft missbraucht, ...
Zum Vergrößern anklicken....

Mal wieder viel Wind um Nichts ...

Ich denke, dass jeder User den evtl. zu erwartenen Schaden mittels "nur in Kürze zum Einsatz kommender Lose" begrenzen kann. Ich bsw. hole nur so viel Lose aus dem Tresor, wie ich grade "verbraten" möchte. Das Einmal-PW nutze ich so gut wie nie und mein bisheriges PW ist schon X-Jahre alt.

Mich würde der Vorschlag im Rahmen meiner Lose-Aktivitäten einschränken, weil man ständig via Copy&Paste zugange wäre. :roll:

Ob da Luke dann wesentlich mehr Hits zustande bringe, bezweifel ich allgemein. Denn die eigentlichen Hits durch Lose aus- und einbunkern, kämen wohl seltener zustande (wenn man von der nächtlichen DA absieht).
 
Wenn das Einweg-Losepasswort generiert wird, gibt es für 10 Min. zwei gültige Losepasswörter, das ständige, nennen wir es SLPW, und das generierte, nennen wir es GLPW1.

Wird innerhalb der 10 Min. ein weiteres Einweg-Losepasswort GLPW2 generiert, dann sind es für die Zeit bis zum Ablauf von GLPW1 drei gültige Losepasswörter! Und so fort!

So etwas stört mich schon. Wenn ich auf Einweg-Losepasswort generieren klicke, ist meine Erwartung, dass alle bisherigen generierten Einweg-Losepasswörter ihre Gültigkeit sofort verlieren. Leider ist das nicht der Fall!
 
Zuletzt bearbeitet:
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

News-Bot
News Lehrerverband nennt Hauptschul-Abschaffung "fatalen Fehler"
Antworten
8
Aufrufe
1K
Gelöschtes Mitglied 142857
G
Zurück
Oben