Re: [A2open-diskussion] A2Open

SourceForge Headquarters 1320 Columbia Street Suite 310 San Diego, CA 92101 +1 (858) 422-6466

> Und jetzt habe ich doch selbst die Idee: Beim ersten Login gibt der  
> Anwender ein frei waehlbares Passwort ein. Dadurch wird der  
> Schluessel freigeschaltet. Dieses Passwort (das mindestens ein  
> Zeichen sein muss, mehr ist gar nicht zwingend notwendig) wird ab da  
> immer abgefragt, wenn er sich authentizieren muss. Und wird somit  
> Bestandteil des Schluessels.
> 
> Also: Der Schluessel bleibt unveraendert. Aber er ist nur verwendbar,  
> wenn man zusaetzlich in der Applikation das "Passwort" eingibt.
> Das ist dann ebensoviel Schutz wie bei der ec-Karte.

Aber wo steht das Passwort? Doch irgendwo auf dem Schluesselmedium? In 
der Schwierigkeit der Implementation sehe ich nicht viel Unterschied, ob 
irgendwo beim ersten Login ein Schluessel auf die Diskette geschrieben wird, 
oder ob mit einem Schluessel etwas auf dieser Diskette verschluesselt 
wird. In diesem speziellen Fall allerdings mit einem symmetrischen 
Verfahren.

In der Anwendung sehe ich bei der 'Passwort irgendwo auf 
dem Medium' die Gefahr, dass jemand diesen Schluessel einfach 
zuruecksetzt und sich ein neues Passwort geben laesst. Da wir open 
source sind, waere das ueberhaupt kein Problem. 

Oder soll das Passwort im Client verwaltet werden? Dann waere der 
Mitarbeiter an seinen Arbeitsplatz gebunden. Wir haetten individuelle 
Daten in jedem Client. Muessten evtl. Backups vorsehen.

Ich denke das freischalten beim ersten Login ist die richtige Idee, aber 
ich denke das Freischalten sollte durch das Verschluesseln des 
Schluessels mit einem vom Mitarbeiter frei zu waehlenden Passwort 
geschehen. Ein unverschluesselter Schluessel ist ungueltig. Das Passwort 
wuerde nirgendwo gespeichert werden, wenn es vergessen wird, muss der 
Mitarbeiter sich halt ein neues Schluesselmedium geben lassen.

Das alles kann ganz normal an einem Arbeitsplatz passieren. Wird ein 
neues Schluesselmedium eingelegt, uebernimmt eine Routine im Client das 
fertigstellen. Danach ist das Schluesselmedium 'finalisiert' und nur 
noch fuer den Mitarbeiter brauchbar, der das Passwort eingegeben hat und 
kennt.

Schluessel, schluessel, schluessel. Ich kaufe ein 'ue' ;-)

Gruesse,
Guido