Dienstag, 6. Oktober 2009

Mit Google Maps den Zugang auf passwortgeschützte Seiten blockieren

Jeder hat es mitbekommen, wieder einmal ist es passiert, dass tausende Benutzerpasswörter an die Öffentlichkeit geraten sind. Dabei kommt mir immer wieder die Frage, woher bekommen die eigentlich die Passwörter? Liegt es daran, dass viele von uns zu einfache Passwörter verwenden? Oder daran, dass wir auf allen Webseiten das gleiche Passwort haben? Sollte der Anbieter vielleicht eine regelmäßige Passwortänderung erzwingen?

Ach wäre das schön, wenn wir uns überall mit einer OpenID oder CardSpace anmelden könnten, und das Passwort damit NIE bei einem Gauner in einem anderen Unternehmen landet, sondern nur bei unserem Identitätsprovider.

GPS-Standort mit IP Adresse vergleichen

Als ich gestern die Meldungen über Microsoft und den Hotmail Problem gelesen habe, viel mir auch gleich die passende Lösung dazu ein.

Diejenigen von uns, die mit ihrem Handy eine Internet-Flatrate besitzen, können mit Google Maps bereits ihren Standort an Google übertragen; dieser kann z.B. bei Google Latitude oder im Google Talk Status angezeigt werden. Anstatt Google Maps könnte man natürlich jede andere Software (GPS) verwenden, die die Position eines Benutzer einer Person kennt, und diese an einer zentralen Stelle inkl. der Rufnummer ablegt, möglichst verschlüsselt natürlich.

Wenn jetzt eine Webseite nach einem Benutzer fragt, versucht diese den Standort anhand der IP Adresse ausfindig zu machen. Danach vergleicht es diese Daten mit dem verknüpften Handy (mittels einem ähnlichen Verfahren wie OpenID). Sollte dieses eine Übereinstimmung melden, kann mit der eigentlichen Anmeldung fortgefahren werden.

Nehmen wir mal an, dass wir nur das Land überprüfen, also ob sich das Handy in dem gleichen Land befindet wie die IP Adresse des Aufrufers, dann hätte ich schon einmal alle Möglichkeiten, meinen Account außerhalb Deutschlands zu hacken, erschlagen. Diese werden sofort blockiert und können sich nicht anmelden.

Diese Implementierung könnte man natürlich auch auf POP3, SMTP,… anwenden, das Prinzip bleibt das gleiche.

Wenn ich meinen Standort einem eigenen solchem Provider mitteile (nicht Google Maps etc.), dann könnte es doch prima funktionieren.

Würde mich mal interessieren, was ihr davon haltet?

Keine Kommentare:

Kommentar veröffentlichen