Thema: Einmal-ST-PW
BGADMIN
+4
04.05.2012 19:36
Hallo,
da das Thema Schnittstellen-Passwort-Sicherheit auch eBesucher.de bekannt ist
Mit "Einmal-ST-PW" meine ich auch, dass das generierte ST-PW nur für genau 1 Aktion verwendet werden darf.
Eine Alternative, die bereits an anderer Stelle verwendet wird, ist eine zeitliche Beschränkung der Gültigkeit, was ich persönlich für die zweitbeste Lösung halte, aber besser als das augenblicklich anzuwendende Verfahren zum Schutz gegen ... "fehlerhafte eBesucher-Einzugs-Skripte" ... .
Durch die Einführung einer solchen Schutzmassnahme könnte das Vertrauen in die Verwendung von eBesuchern noch deutlich steigen.
LG
P.S.:
Meine Suche hier im Forum hat zunächst zu Tage gefördert, dass das Thema zwar nicht neu, aber auch nach 2 Jahren noch nicht umgesetzt ist:
Hallo,
da das Thema Schnittstellen-Passwort-Sicherheit auch eBesucher.de bekannt ist
und es etwas umständlich ist, nach Angabe des Schnittstellen-Passwortes (ST-PW), z. B. wg. Anmeldung auf einer eBesucher-Slot-Seite oder zur Einzahlung (ggfs. sogar zur Auszahlung) von eBesuchern, dieses ST-PW jedes Mal zu ändern, möchte ich vorschlagen, eine Möglichkeit zur Verwendung eines Einmal-ST-PW zu schaffen.Wir empfehlen Ihnen dieses Passwort regelmäßig zu ändern, weil wir nicht garantieren können dass die Betreiber der externen Webseiten die Passwörter nicht abspeichern.
Mit "Einmal-ST-PW" meine ich auch, dass das generierte ST-PW nur für genau 1 Aktion verwendet werden darf.
Eine Alternative, die bereits an anderer Stelle verwendet wird, ist eine zeitliche Beschränkung der Gültigkeit, was ich persönlich für die zweitbeste Lösung halte, aber besser als das augenblicklich anzuwendende Verfahren zum Schutz gegen ... "fehlerhafte eBesucher-Einzugs-Skripte" ... .
Durch die Einführung einer solchen Schutzmassnahme könnte das Vertrauen in die Verwendung von eBesuchern noch deutlich steigen.
LG
P.S.:
Meine Suche hier im Forum hat zunächst zu Tage gefördert, dass das Thema zwar nicht neu, aber auch nach 2 Jahren noch nicht umgesetzt ist:
AceAtack;144887 wrote:Außerdem sollte es doch ein leichtes sein den ebs-Tresor mit einem Passwort zu sichern.
AceAtack;144887 wrote:Des weiteren würde ich anregen wollen das es möglich ist statt statischer Passwörter mit einmalpasswörtern zu arbeiten.
Jeff;144905 wrote:Die Idee mit dem Tresor-Passwort finde ich gut, wird die Tage umgesetzt.
AceAtack
+85
05.05.2012 21:09
Hi BGADMIN,
wie du ja schon bei deiner Suche herausgefunden hast, bin ich auch für Einmalpasswörter. Als ich den Vorschlag eingebracht habe war ich allerdings noch kein Moderator bei ebesucher.de. An meiner Meinung hat sich dadurch aber nichts geändert.
Das Tresorpasswort ist bereits seit langem implementiert.
Mal schauen ob man das Thema wieder auf die Tagesordnung bzw ToDo Liste bekommen kann.
Gruß AceAtack
Hi BGADMIN,
wie du ja schon bei deiner Suche herausgefunden hast, bin ich auch für Einmalpasswörter. Als ich den Vorschlag eingebracht habe war ich allerdings noch kein Moderator bei ebesucher.de. An meiner Meinung hat sich dadurch aber nichts geändert.
Das Tresorpasswort ist bereits seit langem implementiert.
Mal schauen ob man das Thema wieder auf die Tagesordnung bzw ToDo Liste bekommen kann.
Gruß AceAtack