* Jan Luehr: > Wenn wir eine Kompromittierung der Clients miteinbeziehen, dann hat der User > sich sein OTP gefälligst pers. abzuholen.
Das OTP hilft ihm dann auch nicht mehr. Wenn dem so wäre, wäre z.B. auch Internet-Banking mit Einmalpaßwörtern sicher. > Wenn wir aber - was ich für eine realistische Annahme halte - davon > ausgehen, dass der Client eben nicht kompromittiert ist, sehe ich > nicht wie das Kennwort dort verloren gehen könnte. Ich kenne die Argumentation: Wenn der Client kompromittiert ist, haben wir sowieso verloren. Das heißt aber in Wirklichkeit nur: Dann ist mein Produkt wertlos bzw. mein Steckenpferd sinnlos. Das tut natürlich weh, weswegen es niemand so recht wahrhaben will. Das ändert aber nichts daran, daß sich die Leute so etwas trotzdem einfangen und man ihnen als Diensteanbieter u.U. die Schäden ersetzen muß und ggf. gezwungen ist, über den Tellerrand präventiver Maßnahmen wie Zugriffskontrolle hinauszuschauen. -- To unsubscribe, e-mail: [EMAIL PROTECTED] For additional commands, e-mail: [EMAIL PROTECTED]