Hi Achim,
ich warte gespannt auf deine Extension gegen (wie im OP skizziert)
kompromittierte Client-Systeme. Auf einem solchen System dürfte ein
Keylogger dass geringste Problem sein.
Viele Grüße
Thorsten
Achim Gerber JHF IT wrote on 26.03.2007 04:53:
> Vielen dank für all euere Antworten.
>
>
Vielen dank für all euere Antworten.
Jetzt weiß ich, dass einiges an arbeit vor mir liegt. Man kann sich wohl
nicht gegen alles schützen - besonders wenn man ins Visier von denen kommt,
die gezielte Trojaner verschicken...
Auf unserer Seite ist kein Geld im spiel - es geht ja um nichts weiter
Stefan Schlott wrote:
> Das einzige, was wirklich effektiv gegen das Abhören von Paßwörtern
> hilft, sind interaktive Verfahren - also Challenge-Response-Verfahren
> oder Einmal-Paßwörter.
>
Oder beides gemeinsam. Sogenannte Two-Way-Two-Factor-Authentication. Nur
sowas implementiert in der Regel
David Krüsemann schrieb:
> es gibt einige devices im bereich der elektonischen gesundheitskarte,
> die sich des von oliver beschriebenen verfahrens bedienen (dynamisch
> angeordnete eingabefelder per zufallsprinzip). so wird dort vermieden,
> dass die vom patienten eingegebene PIN geloggt wird.
ich kenne solch ein system von einer Brasilanischen bank
dort wird es allerdings per java-applet gemacht.
aber funktions weise ist das gleiche man gibt seine geheimzahl über ein zufällig
angeordnetes tastenfeld ein. die tasten müssen mit der maus getippt werden.
so ein system scheitern natürlich we
es gibt einige devices im bereich der elektonischen gesundheitskarte,
die sich des von oliver beschriebenen verfahrens bedienen (dynamisch
angeordnete eingabefelder per zufallsprinzip). so wird dort vermieden,
dass die vom patienten eingegebene PIN geloggt wird.
mfg,
david
Oliver Thiele schri
-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1
Achim Gerber JHF IT schrieb:
> Hallo,
>
>
>
> Ich habe ein recht ernstes Problem: In China kann man davon
> ausgehen, das alle Internet Cafés mit „key logger“ ausgerüstet
> sind.
>
>
>
> Wir müssen also davon ausgehen, dass mit dem normalen login form
Hi,
> das sehe ich ein. Es wird nur nicht mehr automatisch möglich sein...
> Wenn man es nicht komplett verhindern kann, dann kann man es ja so
> schwer wie möglich gestalten, oder?
ich seh nicht was da schwerer wird. der Login vom "Bösen" muss ja
sowieso manuell erfolgen, also nicht automatisie
Ok,
das sehe ich ein. Es wird nur nicht mehr automatisch möglich sein...
Wenn man es nicht komplett verhindern kann, dann kann man es ja so
schwer wie möglich gestalten, oder?
Christian
Am 24.03.2007 um 08:29 schrieb Georg Ringer:
> Hallo,
>
> Christian Platt wrote:
>> kleine Rechenaufgabe a
Hallo,
Christian Platt wrote:
> kleine Rechenaufgabe aus dem Einmaleins kann da schon helfen.
IMO ist das sinnlos, weil ja der Böse genauso rechnen kann, dh er hat
das Passwort und er hat die Login-Seite, dh er kann das selbst genauso
machen
georg
__
Kis
kleine Rechenaufgabe aus dem Einmaleins kann da schon helfen.
Lässt sich einfach integrieren als drittes Einagbefeld. Oder die
kryptischen Bildchen mit verdrehten Zahlen
Christian
Am 23.03.2007 um 09:15 schrieb Georg Ringer:
> Hallo,
>
> Klaus hats eigentlich schon vorweggenommen. Wa
Geht's nur um den Login?
Die Idee mit dem Captcha war eigentlich recht kool da es recht einfach
umzusetzen ist.
Wenn du in dem Captcha noch eine Rechenaufgabe o.ä. reinbaust sollte das ja
schon einiges taugen (natürlich wird aus der Eingabe eine md5sum die dann
dem gewünschten Ergebnis entsprechen
Achim Gerber JHF IT schrieb:
> Ich bin Programmierer - ich scheue mich nicht vor der extension.
> Hast du mehr Infos über die beiden Verfahren, die du eben erwähnt hast?
Das einzig sinnvoll erscheinende Verfahren sind Onetime-Passwörter. Wenn
Du C beherrscht, kannst Du Dich an den Authentifizieru
Hallo Achim,
wie währe es mit einer art TAN system.
sprich du gibst deinen usern eine liste mit "einmal" gültigen logins.
sprich das user passwort wird nach jedem erfolgreichen login auf ein neues
gesetzt.
so kann man den passwort diebstahl denke ich relativ gut vorbeugen.
gruss chris
Am Fri,
Achim Gerber JHF IT wrote:
> Hallo Klaus,
>
> Das problem ist nur, dass ein teil der Nutzergruppe nur ueber diese
> Computer zugang zur seite haben...
Ich fürchte nur, dass niemand eine technische Lösung für dieses soziale
Problem anbieten kann. Die technische Lösung ist natürlich, das Problem a
, March 23, 2007 4:53 PM
An: typo3-german@lists.netfielders.de
Betreff: Re: [TYPO3-german] Sicherheitsfrage: login mit "key logger"
oder"trojan horse"
Hallo Klaus,
Klaus Muth schrieb:
> Als Alternative sehe ich nur, nicht in China in einem Internet Cafe zu
> surfen. Gege
Hallo Klaus,
Klaus Muth schrieb:
> Als Alternative sehe ich nur, nicht in China in einem Internet Cafe zu
> surfen. Gegen kompromittierte Hardware oder Software auf der Clientseite
> bist Du chancenlos, nur der Client kann dagegen etwas tun.
Sicherlich läßt sich in seinem Fall etwas dagegen tun.
@lists.netfielders.de
Betreff: Re: [TYPO3-german] Sicherheitsfrage: login mit "key logger"
oder"trojan horse"
Achim Gerber JHF IT wrote:
> Hallo,
>
> Ich habe ein recht ernstes Problem: In China kann man davon ausgehen, das
> alle Internet Cafés mit key logger ausgerüstet
Hallo,
Klaus hats eigentlich schon vorweggenommen. Was sonst noch möglich wäre:
Ein Art Captcha, das aber eine Frage beantwortet, die der User
beantworten muss, wobei die Frage immer abwechselt... sowas in die richtung.
georg
___
TYPO3-german mailing
Achim Gerber JHF IT wrote:
> Hallo,
>
> Ich habe ein recht ernstes Problem: In China kann man davon ausgehen, das
> alle Internet Cafés mit key logger ausgerüstet sind.
>
> Wir müssen also davon ausgehen, dass mit dem normalen login form unsere
> Nutzer ihr Passwort preis geben und damit den g
Hallo,
Ich habe ein recht ernstes Problem: In China kann man davon ausgehen, das
alle Internet Cafés mit key logger ausgerüstet sind.
Wir müssen also davon ausgehen, dass mit dem normalen login form unsere
Nutzer ihr Passwort preis geben und damit den gestammten Inhalt der
Webseite.
W
21 matches
Mail list logo
