Das Einweg-Losepasswort ist ja gar kein Einweglosepasswort!

K

K345601

Forenneuling
ID: 345601
L
19 März 2009
3.596
274
Warum wird das "Einweg-Passwort" eigentlich nicht als richtiges Einwegpasswort umgesetzt?

Dürfte doch eigentlich kein größerer Programmieraufwand sein, bei der Gültigkeitsprüfung ein genutztes "Einwegpasswort" umzubenennen, so dass es tatsächlich einmalig bleibt.

Weil richtig müsste es ja eigentlich "Kurzzeitpasswort" heissen ...
 
Wurde wohl von einigen so gewollt, das man wenn man auf meheren Seiten eben aktiv ist (auszahlt/Einzahlt) nicht jedesmall neues PW braucht.

Fände ich auch sinnvoll beides anzubieten, und halt 10Min-LosePW das jetzige zu nennen
 
Wurde wohl von einigen so gewollt, das man wenn man auf meheren Seiten eben aktiv ist (auszahlt/Einzahlt) nicht jedesmall neues PW braucht.
Zum Vergrößern anklicken....

Korrekt, aber eine Funktion wie von Hiltwin vorgeschlagen wäre auch nicht schlecht, jedoch müsste Klamm dann loggen ob das PW bei dem User schonmal verwendet worden ist, und wenn ja in der DB den Status z.B. umschreiben auf 1... gibt viele Möglichkeiten...
 
Bei manchen Anmeldeprozessen wird das Losepasswort mehrfach benötigt. Wollt ihr dort dann x Passwörter eingeben? :p
 
Nein, deswegen ja zwei Varianten

@SunnyDreamer
K.A. wie Lukas das genau umgesetzt hat, aber ganz einfach das PW nach Benutzung bzw. Zeitablauf aus der DB löschen ;)
 
Problem ist hier, dass es viele User gibt welche sich mit dem technischen Kram nicht auskennen. Wenn sie sich nun irgendwo anmelden wollen und dann ihr Einweg-PW eingeben, und dort die Anmeldung dann Probleme macht weil mehrere Anfragen benötigt werden ist das geschreie wieder groß.

Lukas würde wieder massig Mails kriegen wo ihm mit einer Verfassungsklage gedroht wird, weil das PW angeblich falsch wäre usw. :ugly:
 
...

Auch wenn es hier einigen offensichtlich nicht passt, wollte ich nur noch mal auf die Problematik hinweisen, dass ein Einwegpasswort eben kein sicheres Einwegpasswort ist!

Was meint ihr denn, was das Geschrei gross ist und wie Lukas dann über den Umweg USA auf Milliarden Schadensersatz und Weltfrieden verklagt wird, weil man nachweislich unter Zeugen nur ein Einmalpasswort verwendet hat?
 
Der Hintergrund ist einfach ein technischer.
Wenn du ne Transaktion mit nem EF-Account machst, wird bei vielen Anbietern mehrfach angefragt (Erst der Kontostand, dann die Transaktion), so dass da ein Einwegpasswort im Sinne des Wortes nicht zweckmäßig gewesen wäre.

Ansonsten lautet das K.O.-Gegenargument: Wenn dich einer bescheißen will, kann er das auch mit dem Einwegpasswort (und dir eben deine Milliarden abbuchen). Der Schutz, den du forderst, ist nur minimal größer, als der, den du bei der jetzigen Variante hast.
 
...

Hmm, also zu Konrad Zuses Zeiten hätten vielleicht zwei Transaktionen 10 Minuten benötigt :biggrin:

Wäre aber auch nicht so das Problem, man könnte auch das EWP nach der ersten Nutzung für andere EFs sperren. Das schützt zumindest davor, auf anderen Seiten abgeräumt zu werden.

Und zum KO-Argument: Also doch kein Unterschied zwischen normalen und EWP. 8)
 
Wenn man es sicher haben will dann geht es nicht mit einem PW welches man einem dritten anbietet. Das ganze müsste hier dann funktionieren wie bei PayPal usw.

Seite XY leitet dich auf eine Seite von Klamm um und übergibt bestimmte Parameter was gemacht werden soll. Bei Klamm wird das ganze dann verifiziert und klamm ruft nach Ausführung eine vom Betreiber festgelegte URL auf und übergibt den Statuscode und weitere Informationen zur Transaktion.

Alles andere ist unsicher :p
 
...

Gremlin schrieb:
Seite XY leitet dich auf eine Seite von Klamm um und übergibt bestimmte Parameter was gemacht werden soll. Bei Klamm wird das ganze dann verifiziert und klamm ruft nach Ausführung eine vom Betreiber festgelegte URL auf und übergibt den Statuscode und weitere Informationen zur Transaktion.

Alles andere ist unsicher :p
Zum Vergrößern anklicken....

Also klamm 2.0 :mrgreen:
 
Ja :p und wirklich Nachteile hat Lukas davon ja auch nicht. Im Gegenteil, denn er bekommt mehr PIs :p
 
FischkopfXL schrieb:
Der Hintergrund ist einfach ein technischer.
Wenn du ne Transaktion mit nem EF-Account machst, wird bei vielen Anbietern mehrfach angefragt (Erst der Kontostand, dann die Transaktion), so dass da ein Einwegpasswort im Sinne des Wortes nicht zweckmäßig gewesen wäre.
Zum Vergrößern anklicken....

Das ist aber überflüssig. Wenn man sofort versucht die Lose einzuziehen, gibt es im Falle von "zu wenig Losen" eben eine Kennung dafür. Sprich das kostet nur unnötig EF-Abfragen und bringt niemandem etwas.

LG
 
Wer braucht dann schon EFs? Die Lose werden dann ausgedruckt und man handelt in bar. Dann ist jeder wirklich nur für seine eigenen Lose verantwortlich 8)
 
...

D_Blade schrieb:
Wer braucht dann schon EFs? Die Lose werden dann ausgedruckt und man handelt in bar. Dann ist jeder wirklich nur für seine eigenen Lose verantwortlich 8)
Zum Vergrößern anklicken....

Ich sehe schon Lukas die ganzen Sicherheitsstreifen einkleben :mrgreen:

Und staples bringt nächstes Jahr den Lose-Luminizertifizierungssicherheitsdetektor raus ..
 
Der Grund ist doch einleuchtend: Wird das Lose-Passwort für mehr als eine Abfrage benötigt, dann muss es auch standhalten. War schon immer so, und als ob im Lose4 jemand wüsste, wie sein Skript funktioniert ;).
Passwort ist 10min lang gültig.
Zum Vergrößern anklicken....
Ist doch eindeutig ...
 
Ich weiß zumindest wie meine Funktionieren und die Brauchen nur eine Transaktion und nicht mehrere.
 
Frag ich mich halt, wieso!? Da bekommt man doch immer mit einer Abfrage alles zurückgeliefert.

Das doch auch unnötige Transaktionskosten...
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben