1) zombie3456 schrieb am 12.10.2008 um 16:48 Uhr:

Ach du Scheiße! Da verlängere ich lieber meine Passwörter weiterhin, bevor ich mir das antue. Meine Passwörter kann ich nach einigen Wiederholungen fast im Schlaf tippen, bei dieser Technik muss man bei jedem Login viel zu viel nachdenken. Das scheint mir höchstens brauchbar, wenn man sich vielleicht einmal pro Monat irgendwo einloggen muss.

2) Christian Blechert schrieb am 12.10.2008 um 16:55 Uhr:

Ich habe mir mal das Video auf der Seite angesehen, und nur Bahnhof verstanden.
Da kann man ja gleich nen 32 Zeichen langen Alpha-Numerischen Code mit Sonderzeichen nutzen.

3) Dustin Steiner schrieb am 12.10.2008 um 17:03 Uhr:

Wie heißt es nicht so schön? Nicht alles was glänzt ist Gold ^^

4) zombie3456 schrieb am 12.10.2008 um 17:07 Uhr:

Mir ist noch ein Problem aufgefallen. Ab einer bestimmten Anzahl dürfte das System wieder unsicherer werden, weil immer mehr eingrenzbar wird, welche Zeichen zusammen auftauchen, oder nicht? Aber es ist ja auch nur für menschliche Logins zu verwenden und daher eh nicht unendlich zu verlängern.

Wir verwenden es bei uns in der Firma und keiner möchte es mehr missen. Anstatt der dämlichen RSA Token die wir bisher hatten ist es eindeutig besser. Klar man muss es am Anfang lernen und auch kapieren, es gab auch großes Geschrei bei unseren EDVlern, von wegen Sicherheit und so, doch die sind dann gleich ziemlich still geworden und verwenden es jetzt auch. Die Tests haben gezeigt, es ist sicherer als die bisherige RSA Lösung. Und das wichtigste, keiner kann mehr seinen Token verlieren oder im Auto liegen lassen (im Sommer ziemlich schlecht für die Lebensdauer). Auch das Login selbst dauert nicht wirklich länger als mit RSA.

6) Dustin Steiner schrieb am 14.10.2008 um 13:30 Uhr:

@Roberto Das Problem ist aber, dass man dieses Passwort auch lernen muss und man sich daher auch Notizen machen kann - also von daher ist es genauso unsicher, wie jedes andere Passwort. Also wirkliche Sicherheit gibt es nicht, solange unser Gedächtnis nicht perfekt funktioniert.

@Dustin, logisch jede Tätigkeit muss man lernen.

In diesem Fall auch, man lernt bei den ersten Passwörtern die man erstellt, worauf man achten muss. Das Schöne an der Lösung ist, dass man seine Bilder die man ja selbst aussucht, genau deswegen sofort wiedererkennt. Dieses Erkennen weckt wiederum auch die damit verbundenen Assoziation. Ich hab mir bisher 7 oder 8 Passwörter erstellt, die ersten waren sehr einfach - zwei Bilder drei Eigenschaften, jetzt sind sie schon ziemlich kompliziert, aufschreiben muss ich trotzdem nichts.

Wir haben einen Mitarbeiter der hat sein Passwort erstellt und dann nie verwendet, er fuhr nämlich am nächsten Tag nach der Einführung des Systems auf Urlaub und drei Wochen später, als er wieder in Graz war und sich am Portal anmelden musste kam er auf Anhieb hinein. Er war so begeistert, dass er ein Rundschreiben an uns alle machte.

Nun wenn ich mir am Freitag ein 50stelliges Passwort erstelle, am Samstag auf Urlaub fahre und nach drei Wochen zurückkomme, bezweifle ich dass ich mich auch nur im Ansatz an ein solches erinnere. 50 Stellen entspricht der Sicherheit die Seclookon bietet (360 bit).
Womit wir auch bei der Zeit sind, wie lange benötigt jemand einen 50 stelligen Code einzugeben? Ohne Aufschreiben :-) Ich denke hier glänzt das Gold ganz schön...

8) zombie3456 schrieb am 18.10.2008 um 13:30 Uhr:

Ein Problem hat euer System aber noch: Für Server ist es überhaupt nicht geeignet, da es unbedingt grafische Oberfläche benötigt.

Mit den 50 Stellen hast du sicherlich recht, das wird schwierig, sich das zu merken bzw. alles einzutippen. Der gedankliche Unterschied liegt vielleicht einfach darin, dass ich Privatnutzer bin und daher bisher nichts mit extrem hoher Sicherheit zu tun habe. Bei meinem Notebook verwende ich eine meiner Ansicht nach ganz nette Lösung mit einer 4000Byte-Schlüsseldatei auf einem verschlüsselten USB-Stick. Also ich stecke den USB-Stick beim Booten ein, gebe meinen Schüssel (ich glaube so 15 Stellen) ein und dann wird dort der längere Schlüssel für die Festplatte ausgelesen.

Wenn natürlich jemand USB-Stick + Notebook hat, ist die Sicherheit auch wieder dahin, bzw. auf [anzahl buchstaben+zahlen+sonderzeichen]^15 geschrumpft.

Dass man sich den Schlüssel direkt nach dem Ersteller für 3 Wochen merken kann, ist zweifellos ein gutes Argument. Dadurch lohnt sich dieses System wohl vor allem, wenn man sich nicht täglich einloggt.