Sponsor-Board.de

Hallo,

heute wollte ich mal kein eigenes Projekt vorstellen, sondern etwas, was ich heute ganz frisch gefunden habe und einfach so super finde, dass ich euch das unbedingt mitteilen muss.

Der Name dieser Software ist "Clef" - was französisch für "Key/Schlüssel" im Musikbereich (also ein Notenschlüssel) ist.
Anhand der deutschen Übersetzung des Namens und des Threadtitels kann man sich schon vorstellen, was dieses Ding kann. Man lädt sich eine App herunter (verfügbar im Apple App-Store sowie auch im Google Play Store) und richtet sich auf [Link: Registrierung erforderlich] einen Account ein.

Anschließend kann man Clef in seine eigenen Websites einbinden, sich ohne Passwort auf bereits Clef-nutzenden Websites oder auf der Clef-Homepage an sich einloggen. Für Wordpress gibt es im offiziellen Plugin-Store auch eine super Version, die den Wordpress Login auf Clef umstellt. Wenn man also dann eine Website mit Clef hat, bekommt man dort zum Login nur einen sich in Wellenform bewegenden Barcode.

Wenn man sich in der App angemeldet hat und die erste Einrichtung hinter sich hat, kann man diese App dann einfach öffnen und auf dem Display erscheint auch eine Welle mit Kamera. Einfach die Kamera mit der Welle auf die Welle auf dem Bildschirm halten und man wird eingeloggt.

Ich finde, das ist eine super Sache und wollte es euch wie gesagt weitergeben, vielleicht kann sich das ja durchsetzen. Kleine Fehler (keine Sicherheitslücken!) habe ich bereits entdeckt und stehe mit den Entwicklern in Kontakt.

Schönes Pfingstwochenende!

-

Da ist was dran, sollte aber schwer genug sein, die passende Welle zu finden, etc.
Und wenn das möglich ist, naja. Man muss es ja nicht für WIRKLICH Sicherheitskritische Bereiche nehmen. Ist auf jeden Fall ne coole Idee und ich wollte es einfach weiterverbreiten

-

Für Onlinebanking würd ich es nicht nutzen, fürs SB, dbna oder Facebook wäre es aber interessant.

Jo, das ist genau das was ich meinte. Für richtig wichtige Dinge nicht unbedingt brauchbar, da wie Kartoffelkopp schon sagte man tatsächlich THEORETISCH nur den einen Account knacken muss und dann an alle verbundenen Websites ran kommt aber für "normale" Websites ist es sicher ein cooles Feature und der Logn Vorgang macht dadurch sogar ein wenig Spaß

-

Man loggt sich über sein (offt gar nicht bis kaum gesichertes) Handy auf unterstützten Websites ein.

Statt die Daten auf dem PC zu speichern, werden die Daten auf dem Handy gespeichert.
Ist halt auch die Frage WAS? und WIE? die Daten gesendet werden.
Normal nutzt man die Kombination von einem Namen+PW.

Im Handy muss ja dann ein eindeutiger Code hinterlegt sein, der (wie beim Battle.net Authenticator) zusätzlich einen frisch generierten und dadurch immer unterschiedlichen "Schlüssel"(Salt) reinmischt.

Bietet also an sich die Funktion wie beim Battle.net Authenticator nur halt ohne die Eingabe von Daten und eines Codes, was es hochgradig faulen Menschen erspart ihre Finger zu bewegen.

Mich würde dabei nur die Sicherheit und übertragung der Daten interessieren.
So wie ich das sehe, werden die Daten nur mit einem frei generierten Code versetzt, der ja syncron mit dem Anbieter zum Abgleich laufen muss.
Nun könnte man natürlich wie üblich versuchen diesen Code zu erraten (wie man es bei E-Mails schon gemacht hat) und so seinen eig. generator basteln und sich als die gewünschte Person ausgeben.
Das Handy zu hacken ist natürlich bei einer wild fremden Person mit unbekanntem Wohnort um einiges schwieriger.
Ich habe aber auch davon gehört (auch wenn ich nicht weiß wie), dass der Battl.net Authenticator schon teilweise geknackt wurde.
Bei Battl.net reicht der Code jedoch nicht alleine. Mein Name+PW müssen zusätzlich zu dem Code erraten werden.
Clef hat aber alles an einem Ort gelagert.

-

Ich denke es ist eine gute Idee. Ich bin in sehr vielen Foren angemeldet und da ist das bestimmt sehr praktisch. Danke für den Tipp.