login fuer unterwegs (sicher????)

ist ähnlich wie das tan-verfahren oder?

allerdings nen bisschen paranoid oder was für streng geheime emails hast du?

also die mails die ueber die firmen adresse rankommen sind zwar meistens nicht so sensibel, aber da das emailproggi nicht nur zum empfang sondern auch zum senden ist, faend ich es besser ...

ja es waere dem tan verfahren sehr aehnlich, nur das man den einmal pin beim login eingeben wuerde

gruss
iglo

nur dass ich's richtig verstehe:

du hast angst, dass dein betreiber (=hoster, auf dessen server dein skript liegt?), so ein schlechter mensch ist, dass er die passwörter für deine mailadressen ausspioniert?
oder das passwort zum anmelden am skript?

wohl eher letzteres, weil ich nicht denke, dass es so einfach ist, die passwörter für die mailadressen als solche automatisiert zu ändern

irgendwo musst du stehen haben, welches passwort du brauchst um die mails an a@b.com abzurufen, das passwort kannst du nicht verschlüsselt speichern mit md5 oder sowas in der art

das einzige was du tun könntest wäre - schematisch - sowas:
am skript anmelden (passwort dazu in der db, md5-verschlüsselt)
passwort in session speichern
verschlüsseltes mailpasswort aus db auslesen und mit anmeldepasswort entschlüsseln (blowfish oder ähnliches)
das entschlüsselte mailpasswort wäre dann nur im skript bekannt

wenn du allerdings so schlecht von deinem betreiber denkst, dann musst du auch davon ausgehen, dass er die session-dateien ausliest und da stünde dann dein passwort drin


also nochmal: was genau willst du wie machen?

Ich glaube, er meint eher die Gefahr des Mitschneidens von Tastatureingaben in Internet-Cafés und ähnliches - womit dann auch das aufwendigste Verschlüsselungsverfahren aufgehoben würde.

Und wenn man häufig unterwegs ist und oft von Orten, die man nicht kennt, ins Netz geht, ist das wahrscheinlich gar nicht mal soooo paranoid, sondern eher gesunde Vorsicht.... Dafür finde ich die Lösung mit Einmalpasswörtern - wenn auch mit viel Aufwand verbunden - gar nicht mal schlecht. Also nach dem Motto: Ich melde mich mit einem Einmalpasswort beim PHP-Mail-Client an, der die POP3-Passwörter intern fest verdrahtet hat.

Dafür gibts m.W. auch Lösungen, die nicht an ein Authentifizierungssystem gebunden sind und die das Passwort auf einem kleinen Display an einem USB-Stick anzeigen - wie der Export der generierten Passwörter an den Mail-Client aussieht, ist dann halt extrem Herstellerabhängig....

Eines wäre zu beachten, um es völlig narrensicher zu machen: Wenn ich mich mit einem Einmalpasswort anmelde, sollte der PHP-CLient keinerlei Möglichkeit zur Änderung des Masterpassworts bieten. Sonst bestünde theoretisch die Gefahr, daß sich jemand live in die Session einklinkt und ebenjenes tut.

@pekka :

du hast verstanden was ich meine ...
nein vor dem host wo meine skripte liegen hab ich keine bedenken, sondern wenn man unterwegs bspw. sich aus einem inetcafe einloggt ...
das mit dem masterpasswort hatte ich nciht bedacht ... muss ich noch machen ...

das mit dem stick der ein pw anzeigt waer natuerlich eine sehr elegante loesung, nur ist die nicht nur fuer mich, sondern ich entwickel das auch fuer die aussenmitarbeiter der firma fuer die ich arbeite ... und es soll moeglichst kostenneutral sein ...

naja ich werds wohl erstmal so umsetzen

gruss
iglo

vielleicht noch eine zeitabhängige und ip abhängige pwzusatzabfrage

ein "public-pw" + ein pw, dass sich aus zeit + ip zusammensetzt

z.B. tag + jahr + stunde + ip zahlen ohne die punkte + fantasiezahl


sicher kann man das rausfinden, aber wer das rausbekommt, kriegt auch sonst alles über dich raus...