PHPAC Passwortmethodik: Verbesserung

Bernhard Eversberg ev at buch.biblio.etc.tu-bs.de
Do Nov 28 08:40:54 CET 2002


Verbesserung der PHPAC-Passwortmethodik

Schwachpunkt der Methodik ist es, dass die IP-Nummer des
Nutzers nicht eindeutig ist.
In kleineren Kreisen, und/oder wenn eh niemand ausserhalb
des Kreises was von der Datenbank weiss, kann man sich
entscheiden, mit der dann verschwindend geringen Unsicherheit
zu leben.
Es gibt aber eine Verbesserungsmoeglichkeit, die man optional
anbieten und nutzen koennte:

Bei der ersten Schreibaktion waere, wie bisher, das Passwort
einzugeben. Ein zusaetzliches Eingabefeld wuerde angeboten, mit
dem man sich fuer den Rest des Tages eine individuelle Kurzkennung
geben koennte (aber nicht muesste). Bei weiteren Schreibaktionen am selben Tage 
haette man nur diese anzugeben. Das System ergaenzt diese zur IP incl. Datum und 
weiss fortan (fuer den Rest des Tages), dass die Schreibanforderung berechtigt 
ist. Die Kurzkennung wuerde also, falls eingegeben, die IP-Nummer
ergaenzen. Jeder hat es dann in der Hand, den Missbrauch seiner
moeglicherweise nicht eindeutigen IP zu verhindern. Fuer die
Kurzkennung sollten zwei Zeichen (Buchstaben+Ziffern) reichen,
damit waere die Sache immer noch bequemer, als wenn man jedesmal
das Passwort eingeben muesste.

Diese erweiterte Methodik koennte kurzfristig realisiert werden.
Kommentare erbeten.

MfG B.E.


Bernhard Eversberg
Universitaetsbibliothek, Postf. 3329, 
D-38023 Braunschweig, Germany
Tel.  +49 531 391-5026 , -5011 , FAX  -5836
e-mail  B.Eversberg at tu-bs.de  




Mehr Informationen über die Mailingliste Allegro