Gibt es Eurer Meinung nach eine Möglichkeit, die Sicherheit für ein browserbasiertes Programm nach HTTPS noch zusätzlich zu erhöhen, ohne dass klientseitig eine zusätzliche Verschlüsselungs-Software installiert werden muss?
Meine Ideen:
1) Nur gewissen IP Adressen den Zugang ermöglichen (das Problem sind die dynamischen IP Adressen)
2) VPN, okay, ist bei den meisten Smartphones schon vorinstalliert, das Problem ist, man verliert die Möglichkeit gleichzeitig andersweitig zu Surfen (fällt somit ins Wasser)
3) Irgend eine zusätzliche Passworteingabe, z.B. eine Art Schlüsselbund-Key-Generator (den man auch vom Onlinebanking her kennt), der das Passwort alle 5 Minuten synchron mit dem Server ändert.
4) HTTPS muss reichen.
Meine Theorie ist, dass ein Hacker, wenn er es wollte, immer irgendwie Zugang erhält, sei es mit einem Insider, durch Einbruch ins Geschäft oder mit Malware, darum tendiere ich zu 4.
Aber was würde Euch spontan einfallen?
|