Saschka schrieb:
Bin da kein Fan von. Bei mir hats mit der Sicherheit bisher auch immer so funktioniert.
Ich mein klar, für Online-Banking etc. finde ich diese Art von Passwort (mobile Tan) absolut nützlich.
Aber für mein Mailkonto ists dann doch etwas überzogen.
Warum sollte es überzogen sein? Schließlich ist dein Mailkonto im Zweifel die Stelle, an der alle anderen Authorisierungen & Passwort-Resets zusammen laufen.
Knackt jemand den Mailkonto, kann er als nächstes z.B. auf dein Amazon-Konto, und per Lastschrift shoppen. Oder er kommt zu PayPal durch, und verballert dein Guthaben. Er klinkt sich in deine Dropbox ein und kapert deine Dateien.
BrightM schrieb:
Jawohl, lassen wir uns alle Passwörter aufs Handy schicken und wenn wir dann gemerkt haben, dass Handys auch nur Computer sind, die zudem wesentlich schlechter geschützt werden als Heim PCs hinter Virensuiten, dann stellen wirs wieder um...
Da diese Passwörter 1.) Einmal-Passwörter und 2.) sicherlich nur temporär gültig sind, bringt es einem Angreifer sehr wenig, das Telefon anzugreifen. Wenn er nicht genau in dem Moment auf dein System zugreift, während du die Passwort-SMS bekommst, wars das. Dann ist es entweder schon wieder verfallen, oder der User hat es tatsächlich schon benutzt.
Und zu der Diskussion was ein sicheres Passwort ist, sage ich nur, schaut euch mal an wie stark Computer geworden sind, Bruteforcen kann man alles...
Nein, kann man nicht. Du kannst z.B. (selbst mti einem sehr großen Botnet) mal versuchen, einen Zugang zu attackieren, der über Dienste wie Fail2Ban gesichert ist.
Für alle die's nicht kennen: Fail2Ban sperrt eine IP temporär (üblich: 30Min+), nachdem von ihr mehrere (3-5) fehlerhafte Eingaben in einer gewissen Zeitspanne eingingen. Selbst wen du also ein 10.000 Einheiten großes Botnet hättest, jeder Bot hat pro halber Stunde nur 5 "Schuss". Was sind schon 2,4Mio Zugriffsversuche pro Tag gegen ein SICHERES Passwort?
Und im schlimmsten Fall triggerst du nach X Fehlversuchen einfach eine Sperre auf das angegriffene Konto, die über einen SMS-Code oder ähnlichem erst wieder entfernt werden muss.