Auge: Token bzw. Passwort generieren / php

Beitrag lesen

SELF-Forum

Token bzw. Passwort generieren / php

Auge
Informationen zu den Bewertungsregeln

Hallo

Er benutzt als Passwort ein für ihn leicht zu merkendes Wort mit angehängter und hochzuzählender Zahl[1] statt eines Passworts, dass diese Bezeichnung verdient.

Oder einen Passwortmanager, der zufällige, lange Passworte generiert. Und dessen Aufruf entweder durch ein Passwort wie 12345 geschützt ist, oder der eine valide Anmeldung ans Betriebssystem als hinreichenden Schutz akzeptiert (bspw. die im Browser integrierten Passwortmanager). Die Anmeldung am Betriebssystem erfolgt dann wieder mit 999 oder ähnlichem.

Ja, geht auch; aber eben auch anders.

Mein Passwortmanagerpasswort ist 15 Zeichen lang und es wird zusätzlich noch ein Kryptoschlüssel benötigt.

Zusammengefasst: Passwörter sind eine Konstruktion aus den 50er Jahren (würde ich schätzen), bei der die Parameter nutzerfreundlich und sicher umgekehrt proportional zueinander sind. Und sicher ist relativ, es gibt genügend Möglichkeiten, einem User das Passwort abzulauschen, wenn man es darauf anlegt und bei Budget und krimineller Energie kein Limit gesetzt ist.

Da hast du wohl recht.

Vermailte Passwörter sind prinzipiell unsicher. Eigentlich müsste jeder Benutzer sein Konto selbst anlegen und das Passwort vergeben. Passwortvergabe und -änderung muss über einen zweiten Faktor abgesichert werden (Bestätigungsmail). Die Verwendung einer Authenticator-App mit TOTP[1] ist ebenfalls nützlich - wenn man serverseitig programmieren kann, ist es überhaupt nicht schwierig, eine solche Authenticator-Absicherung auf der eigenen Website einzubauen. Das hab ich spaßeshalber schonmal zusammengesucht und programmiert und habe einen Wiki-Artikel dazu auf meiner internen Todoliste. Sofern nicht ein Link auf eine Vorlage reicht 😉

Das würde mich tatsächlich interessieren. Ich habe zwar vor Jahren mal TOTP über SMS gebaut, aber das gilt ja auch nicht als sicher. Wenn ich im Netz nach soetwas suche, finde ich zwar zuhauf Projekte (zum Beispiel auf Github), aber die Selbstbeschreibungen der Projekte lassen mich regelmäßig zweifeln, ob das nun die Umsetzung der 2FA für den Login auf einer Website ist, oder „nur“ eine webbasierte App, um sich woanders einloggen zu können.

Ob die Passkeys, die uns die Browserhersteller andienen wollen, besser sind, weiß ich nicht. Der Browser muss sie speichern und absichern. Google möchte meine Passkeys gerne zentral speichern. Möchte ich das? Eher nicht.

Spätestens bei dem Punkt, die PassKeys jemand anderem in die Hand drücken zu sollen, springt der Alarm auch bei mir an.

Tschö, Auge

--
„Habe ich mir das nur eingebildet, oder kann der kleine Hund wirklich sprechen?“ fragte Schnapper. „Er behauptet, nicht dazu imstande zu sein“ erwiderte Victor. Schnapper zögerte (…) „Nun …“ sagte er schließlich, „ich schätze, er muss es am besten wissen.“ Terry Prattchett, Voll im Bilde

  1. time based one time password ↩︎

Antwort verfassen Antwort mit Zitat verfassen Beitrag melden
Informationen zu den Bewertungsregeln
0 23

Token bzw. Passwort generieren / php

Bernd
  • php
  1. 1
    MudGuard
    1. 0
      Bernd
  2. 1
    Rolf B
    1. 0
      Bernd
      1. 1
        Rolf B
        1. 0
          Bernd
          1. 1
            Der Martin
            1. 0
              Rolf B
          2. 1
            Auge
            1. 0
              Rolf B
              1. 0
                Auge
          3. 0
            encoder
            1. 0
              Rolf B
              1. 0
                Bernd
                1. 0
                  Der Martin
                  1. 0
                    Bernd
                    1. 0
                      Auge
                      1. 0
                        Gunnar Bittersmann
                        • ux
              2. 0

                winzigbisschen

                Raketenwilli
            2. 0
              Bernd
    2. 0
      Gunnar Bittersmann
      • ux
      1. 0
        Raketenwilli