Moin!

Der User wird aufgefordert: Geben Sie das 3., 6. und 8. Zeichen Ihres Paßwortes ein.

Wer immer das abfängt, kann nichts damit anfangen, weil beim nächstenmal Zeichen 1,2 und 7 verlangt werden.

Ist das sicher ?

Nein. Um Zugang zu erlangen, muß man ja nur drei Zeichen richtig haben, nicht 8 (wie im Originalpasswort enthalten sind).

Das macht BruteForce attraktiv.

Bei Ziffern könnte man noch weiter gehen: "Geben Sie das Produkt aus Ziffer 1, 2 und 5 ein (beim nächsten Mal ist es die Summe aus 2 und 4).

Alle diese Mechanismen haben den Nachteil, dass sie menschliche Interaktion erfordern, die nicht von allen Individuen geleistet werden kann. Und außerdem die Sicherheit nicht qualitativ erhöhen. Man kann immer die Kommunikation belauschen - und ein endlich langes Passwort oder eine endlich lange Pin wird irgendwann bei solchen Kombinationen auch mal eine vorhergehende, bereits belauschte Kombination abfordern - und die gibt man dann einfach ein.

- Sven Rautenberg