Lieber Christoph,

Interessanter Punkt. Maschinelle Login-Versuche können aber auch über ein Verschlüsseln der Feldnamen - in Kombination mit 'Dummy'-Feldern und einer zufälligen Anordnung selbiger im Dokument - ausgeschlossen werden.

klingt vernünftig. Ich bin bisher zwar noch nicht soweit gegangen die Feldnamen zu verschlüsseln - das habe ich nur bei einem einzigen Dummy-Feld als Schlüssel-Schloss-Prinzip angewandt - aber eben auch nicht für Login-Formulare. Die Idee finde ich aber höchst reizvoll.

Problematisch bei einer solchen Lösung ist allerdings, dass ein hartnäckiger Phisher immernoch das CSS parsen könnte, um so die Dummy-Felder von den 'echten' zu unterscheiden :(

Müssen die sichtbaren Felder unbedingt Klassennamen tragen? Das geht wenn, dann schon besser über <label>-Elemente und deren Inhalte.

Man braucht eine Möglichkeit, Mensch von Maschine unterscheiden zu können. Das kann über Bild-Captchas erfolgen, aber ebenso über Quizfragen wie "Was ist die Summe von drei und fünf?", "Die Flagge der BRD zeigt die Farben Schwarz, Rot und ...?".

Ja, das scheint die fast unlösbare Aufgabe zu sein.

Viel wichtiger als Machinen vom Login auszuschließen, ist es aber onehin, dies *nach* dem Login zu erkennen, so dass der Account gesperrt und der entsprechende Nutzer informiert werden kann!

Das setzt voraus, dass Du Mensch von Maschine unterscheiden kannst!

Liebe Grüße,

Felix Riesterer.