Das Einweg-Losepasswort ist ja gar kein Einweglosepasswort!

[Benutzer-6744]

Frag ich mich halt, wieso!? Da bekommt man doch immer mit einer Abfrage alles zurückgeliefert.

Das doch auch unnötige Transaktionskosten...

Schlechte Programmierung (Api nicht wichtig studiert :/). Oder sehr verquere Logik

LG

 

[Mone]

Passwort ist 10min lang gültig.

Ist doch eindeutig ...

Eindeutig schon, aber anders, als du denkst. In dem Fenster steht:

Einweg-Lose-Passwort
Passwort ist 10min lang gültig.

Das bdeutet, dass ich das Passwort einmal benutzen kann, denn genau das bedeutet das Wort "Einweg", und zwar innerhalb der nächsten 10 Minuten.

Ohne diesen Thread hier wäre ich nie auf die Idee gekommen, dass das anders sein soll.

 

[Benutzer-2472]

Auch wenn es hier einigen offensichtlich nicht passt, wollte ich nur noch mal auf die Problematik hinweisen, dass ein Einwegpasswort eben kein sicheres Einwegpasswort ist!

[...]

Einweg = Einmal zu benutzen - wie lange es benutzbar ist, ist eine andere Sache.
Einwegrasierer reichen auch für eine komplette Rasur und Einwegfeuerzeuge zünden nicht nur eine Kippe an

Edit: Anwednungsbeispiel: Ich möchte bei X Seiten auszahlen. Ich generiere mir ein PW und füge es per copy'n'paste mal eben in alle Seiten ein, statt nach jedem Vorgang wieder ein neues PW zu generieren. Ich finde den 10 Minuten-Radius total okay und sinnvoll. Will jemand das Konto leerräumen, dann kann derjenige auch das 1-Mal PW abfangen und anders nutzen als der User denkt

 

[Mone]

Einwegrasierer reichen auch für eine komplette Rasur und Einwegfeuerzeuge zünden nicht nur eine Kippe an

Und aus Einwegflaschen kann man mehr als 1x trinken - geschenkt . Denn bei allen genannten Beispielen geht es um das Recycling; um die Verwendung, nachdem der eigentliche Zweck schon erfüllt wurde. Nur wie definiert man bei Passworten das Recycling? ... Gibts nicht, richtig. Da geht es nur um die Anzahl der Nutzungen, und "Einweg-Passwort" suggeriert nun mal die Einmalbenutzung.

Vor allem steht das (mMn) auch nirgends richtig beschrieben. Da steht immer nur "10 min gültig". Aber ein Einmal(sic)passwort kann auch nur 10 min gültig sein.

Die Gründe, warum das so gemacht wird, sind mir auch klar. Es geht um den Begriff "Einweg"-Passwort, den ich auch für irreführend und damit falsch halte.

 

[Anstaltsleiter]

Wenn du ne Transaktion mit nem EF-Account machst, wird bei vielen Anbietern mehrfach angefragt (Erst der Kontostand, dann die Transaktion), so dass da ein Einwegpasswort im Sinne des Wortes nicht zweckmäßig gewesen wäre.

Wo liegt da der Zweck? Es reicht im grunde immer nur eine Ef-Abfrage, denn wenn der User z.B. nicht genug Lose auf dem Konto hat sagt der EF das ja direkt (1008 in diesem Fall)
Liegt wohl eher an den Proggern die sowas für nötig halten obwohl es nicht nötig ist

 

[Benutzer-2472]

Und aus Einwegflaschen kann man mehr als 1x trinken - geschenkt . [...]
Die Gründe, warum das so gemacht wird, sind mir auch klar. Es geht um den Begriff "Einweg"-Passwort, den ich auch für irreführend und damit falsch halte.

Warum suggeriert denn "einmal" sowas? Du trinkst doch auch mehr als einmal einen Schluck aus der Flasche.

Zumal Klamm in meinen Augen ganz andere Probleme hat, als die "Fehl"bezeichnung von einer Funktion.

 

[EselDompteur]

einfachste Variante ist doch die Korrekte Umbenennung in "Kurzzeitpasswort".

Und in ferner Zukunft wenn Luke mal Langeweile haben sollte kann er sich ja mal an die Umsetzung "man in the middle" machen wie es Sofortüberweisung beispielsweise nutzt ...

 

[ABC]

Ansonsten lautet das K.O.-Gegenargument: Wenn dich einer bescheißen will, kann er das auch mit dem Einwegpasswort (und dir eben deine Milliarden abbuchen). Der Schutz, den du forderst, ist nur minimal größer, als der, den du bei der jetzigen Variante hast.

Ich denke es wurde damals so eingerichtet und man hat sich noch nicht so viele Gedanken darum gemacht. Es gäbe viele Verfahren Lose absolut sicher zu transferieren. Aber die technische Seite ist nun mal schon in den Graben gefahren.

Ich denke der Prozess ist nun un umkehrbar. Der User gibt die Daten an die Webseite weiter. Und das ist halt Schwachsinn. Die Sache wäre besser wenn es so wäre wie bei bekannten Zahlungssystemen wie MB oder PP. Wenn man einzahlen will, wird man auf Klamm weiter geleitet. Dort bestätigt man einen Transfer und wird dann wieder zum Anbieter zurück geleitet. Jetzt braucht der Anbieter nur noch zu prüfen ob die Transaktion angekommen ist (z.B.) per Cron.

Eine andere Alternative wäre man gibt alles an ausser das LPW (alles wie bisher aber kein LPW eingeben). Und dann bekommt man eine E-Mail die man bestätigen kann. (Transfer freigeben).

Viele Wege führen nach Rom. Aber so lange der User ein Zugriffspasswort durchgeben muss, wird es immer unsicher bleiben.

Und wie gesagt das Problem ist, jetzt ist es bereist zu spät. Denn dann müsste jede Seite umbauen, würde man das ändern wollen!

 

[wichtel9999]

Das bdeutet, dass ich das Passwort einmal benutzen kann, denn genau das bedeutet das Wort "Einweg", und zwar innerhalb der nächsten 10 Minuten.

So habe ich das auch immer erlesen und für jede Tansaktion die durchführe habe ich mir ein neues Passwort erstellen lassen in der Annahme, das es eben nur einmal innerhalb von 10 Minuten zu benutzen ist.

Das macht mein nächtliches Losesammeln um ein vielfaches schneller und einfacher, aber nimmt mir irgendwie ein Gefühl der Sicherheit das es eben mehrfach zu benutzen ist.

Und wie gesagt das Problem ist, jetzt ist es bereist zu spät. Denn dann müsste jede Seite umbauen, würde man das ändern wollen!

Das ist für mich nicht wirklich ein Argument, denn bei vielen Anbietern muss man ab und an mal seine Scripte an eine API-Veränderung anpassen.

Mit einer Übergangslösung kann man sich da eine Weile überbrücken, bis der Letzte gemerkt hat, das sich was verändert hat.

Und die Idee das wie moderne Zahlungssysteme zu machen finde ich persönlich auch nicht schlecht.

Lieben Gruss

wichtel

 

[Benutzer-6744]

An sich ist das Einweg-Losepasswort aus meiner Sicht her schon ganz gut.

Schade ist es nur, das man als Betreiber nicht (optional) erzwingen kann, das Einweg-Pw zu nutzen. Das wäre aus meiner Sicht die wichtigste Verbesserung.

Wurde aber (aus mir unerfindlichen Gründen) abgelehnt

LG

 

[ABC]

Das ist für mich nicht wirklich ein Argument, denn bei vielen Anbietern muss man ab und an mal seine Scripte an eine API-Veränderung anpassen.

Mit einer Übergangslösung kann man sich da eine Weile überbrücken, bis der Letzte gemerkt hat, das sich was verändert hat.

Und die Idee das wie moderne Zahlungssysteme zu machen finde ich persönlich auch nicht schlecht.

Lieben Gruss

wichtel

Okay dann muss ich dir Recht geben. Wenn eine lange Übergangszeit herrscht kann man das noch wirklich ändern! Das wäre ohne hin nicht schlecht. Weil wie ich finde hat der Webmaster wirklich nichts am LPW zu suchen. Oder Dinge wie der Kontostand auf Klamm usw.. geht ehrlich gesagt so oder so nur den User selbst an.

Allgemein gibt es ja schon einen Loseremote (hier im Forum) wo sich User untereinander Lose senden können. Theoretisch wäre das ungefähr das Gleiche mit der Ausnahme, dass man eben dann ein EF einzahlt und eben eine Zahlungsaufforderung bekommt.

Wenn man dieses Verfahren noch mit einem Sicherheitszertifikat zum Beispiel Open SSL versieht, dann fände ich das schon relativ geniale Lösung.
https://www.openssl.org/