bantu hat geschrieben:Ein zusätzlicher Loginnamen erhöht, sofern ich mich auf die Schnelle nicht verdacht habe, die Sicherheit nicht.
Aktuelle Situation: Benutzername öffentlich, Passwort geheim.
Vorschlag: Benutzername öffentlich, Loginname geheim, Passwort geheim.
Der Loginname und das Passwort bilden also das neue eigentliche geheime Passwort, womit man wieder bei der aktuellen Situation ist.
Den gleichen Effekt kann man erreichen, wenn man bei der aktuellen Situation einfach den ausgedachten Loginnamen an das Passwort anhängt.
Das stimmt zwar aus rein technischer Sicht, dennoch macht das ganze in meinen Augen einen Unterschied, denn durch die Geheimhaltung des Loginnamens ist ein Username nicht mehr anders zu behandeln als der Inhalt eines Posts: Man sieht zu welchem Benutzer er gehört, aber für den Login ist er völlig wertlos (sofern man die Entkopplung durchgeführt hat). Die tatsächliche Sicherheit erhöht sich zwar nur als hätte man den Loginnamen an das Passwort angehängt, von der Seite des Social Engineering her könnte das ganze allerdings sicherer sein, denn wenn man von irgend einer Seite gebeten würde seinen Loginnamen anzugeben dürfte der eine oder andere nämlich nicht seine kryptische Buchstabenkombination angeben sondern den Namen der ihn im Forum repräsentiert - was für den Angreifer völlig wertlos ist, selbst wenn er auf anderem Wege an das Passwort gekommen ist. Eine völlige Sicherheit kann es hier natürlich auch nicht geben und in wiefern das ganze die Sicherheit tatsächlich in diesem Sinne erhöht müsste man auch ausprobieren - nichts ist unberechenbarer als der Mensch.
Zusätzlich erhöht sich die Sicherheit einfach schlicht dadurch, dass die Passwortlänge steigt. Natürlich kann man den Namen auch einfach anhängen - diese Version ist aber deutlich schwieriger zu merken als eine Trennung in Benutzernamen und Passwort. Einen achtstelligen Benutzernamen und ein achtstelliges Passwort lässt sich beides ganz gut merken, bei einem sechzehnstelligen Passwort könnte man schon mal ins Grübeln kommen.
Beim Merken von Telefonnummern ist das ganze ähnlich: 0017652668432 ist eine ziemlich lange Nummer, wenn man sie aber in Ländervorwahl (in dem Fall USA), Area Code, Vorwahl und Nummer aufteilt dann wird das ganze viel einfacher: 001 (USA) 765 (eine Region im Bundesstaat Indiana) 266 (Phantasievorwahl) 8432 (Phantasienummer). Das geht natürlich auch bei deutschen Nummern ähnlich.
Es kann aber natürlich sein, dass die Sicherheit die sich hierdurch ergeben würde mit steigender Verbreitung dieser Authentifizierungsmethode sinkt, denn die Phishing Site Ersteller sind ja auch nicht auf den Kopf gefallen. Entsprechend ist diese Methode möglicherweise für einige wenige Foren tatsächlich sicherer (also als Mod), als wenn das ganze als Standard implementiert würde und damit für Phisher und Hacker interessant würde.
