Wäre interessant,
aber solange bei Facebook täglich 3 Freundschaftsanfragen von Fake-Profilen eintrudeln
und ich das bei der MK noch kein einziges Mal erlebt habe,
gibt es bei Facebook trotz der Möglichkeit von "One-Time-Passwort"
offenbar gravierendere Probleme. (Finde ich.)

Jedenfalls ich würde Facebookaktien ab jetzt auf "SELL" setzen
:-)

Warum?

.

Was ist ein "One Time Passwort"?

das ist ein "ein zeit passwort"

Ich dachte, das wäre ein "einmal Passwort"?

Die Erteilung eines "one-time passwords" könnte darauf abzielen, dem Empfänger Inhalte zugänglich zu machen, die durch die Schutzmechanismen der MK bisher Personen ohne freigeschaltete Sedcard und Minderjährigen verborgen sind. Also lassen wir das mal, denn diese Schutzmechanismen wurden ja nicht umsonst so gestaltet...

Wenn ich als Fotograf hier nicht angemeldeten Personen meine Tittenbilder zugänglich machen will, weiß ich, dass das auch über Fratzenbuch und Instagram nicht geht. Dann muss ich eben mal 'ne Mail schicken, oder einen Account bei dropbox, tumblr etc. einrichten...

Nein, 'One Time Password' bedeutet, dass man für jede Anmeldung ein neues Passwort benötigt - die entnimmt man einer Liste oder einem Passwortgenerator. Das schliesst einige Angriffsszenarien aus, ist aber für Seiten wie die MK absolut unnötig und auch mit einem unglaublichen Aufwand verbunden.

Ich kenne zwar das fbook icht, aber Einmalpassworte (One Time) sind welche, die man einmalig verwendet, also für jeden Login ein eigenes Passwort. Bietet also erheblich mehr Sicherheit, weil sich von einem Passwort nicht auf ein anderes der gleichen E-Mail zurückschliessen lässt.

Weshalb das ein Problem für die MK sein soll, weiss ich nicht. Hat ja auch mit der MK nichts zu tun sondern nur mit dem Anwender. Wenn dieser mehrere Accounts (auch auf unterschiedlichen Seiten) besitzt und mit den Einmalpassworten vernünftig umgehen möchte, braucht es hierfür ein Programm, das einen die Passworte verwaltet und die richtigen für den richtigen Login auf der richtigen Seite vorschlägt. 

Daneben gibt es neben den Einmalpasswort auch die einmalige E-Mail Adresse, welche für jeden Login separat generiert wird. Damit wird die Rückverfolgung auf den Hauptaccount erschwert und das zuordnen der undichten Stelle über den die Spams generiert werden. So etwas gab es früher mal bei Google, aktuell ist mir kein Mailhoster bekannt der soetwas aktuell (gratis) im Programm hätte.

Nein, auch das sind keine otp, Passwörter sollte man eh *nie* recyceln.
Bei OTP muss man jedes Mal, wenn man sich hier einloggt, ein neues Passwort eingeben. Wie beim Pin/Tan-Verfahren. Und über einen unabhängigen, sicheren Kanal muss die MK jedem Benutzer diese Passwörter zur Verfügung stellen. Ein Riesenaufwand.

Hallo Carsten,

so ein Verfahren macht schlicht und einfach keinen Sinn, denn es erhöht schlicht und einfach die Sicherheit nicht, sondern gefährdet sie stattdessen, da es den Angriffschwerpunkt auf die zentrale Stelle verlegt. Mit Sicherheit, hat dieser Ansatz nichts zu tun.

Richtig implementiert erhöht das schon die Sicherheit. Es wäre aber hier mit Kanonen auf Spatzen...

Ich bin auch der Meinung, dass viele Verfahren, die die Sicherheit erhöhen sollen, in Wahrheit zu mehr Unsicherheit führen. Dazu zähle ich auch diesen Ansatz. Der Grund dafür liegt darin, dass man sich immer irgendwas speichern muss, damit man selbst noch "reinkommt". Das fängt schon damit an, dass Passworte eine bestimmte Länge haben sollen und Sonderzeichen und ... Das kann sich keiner mehr merken und spätestens wenn das noch alle 30 Tage geändert werden muss, dann schreibt man es auf.

Ausserdem dürfte man vielleicht festgestellt haben dass seit dem golive und ein paar Bug fixes hier nichts mehr passiert ist was die Kundenlaune auffrischen würde

Solange der TO hier nicht konkreter wird, ist das alles ein stochern im Nebel. Aktuell beschleicht mich der Gedanke, dass er die two-phase-authentication damit meinen könnte. Wüsste aber nicht was das aktuell bringen sollte ausser mehr umstände beim Login und zusätzliche Investitionen und Kosten auf der Betreiberseite.