Re: S/Key und ssh

Harold Gutch <logix(at)foobar.franken.de> wrote:
> Wenn du von einem Angreifer ausgehst, der auf der Clientseite
> einen Tastatursniffer laufen hat und das *irgenwann* (sagen wir
> mal 1x/Tag, wenn das Internet-Cafe zugemacht hat) auswertet, hast
> du recht. Wenn du aber ganz generell nur sagst "Die
> Vertrauenswuerdigkeit auf Clientseite ist nicht gewaehrleistet",
> dann ist eigentlich bereits 1x einloggen zuviel, da ich als
> Client dich den Einlogvorgang uebernehmen lasse, mich dann
> austobe und deine Tastatureingaben froehlich ignoriere.

Programme, die Tastatureingaben mitloggen, gibt es diverse.
Genau gegen dieses Problem helfen OTP-Tools (z.B. s/key).

Du hast insofern recht, als daß es nicht wirksam hilft,
wenn ein automatisiertes Programm _sofort_ das Paßwort
nimmt und einen Einlogforgang damit macht, bevor der eigene
abgeschlossen ist. So ein Programm ist mir allerdings
nicht bekannt -- das muß nicht heißen, daß es sowas nicht
gibt, aber auf jeden Fall dürfte sowas schonmal weniger
verbreitet sein. Davon abgesehen merkt man in dem Fall
wenigstens sofort, daß etwas passiert ist. Wenn jemand
Dein richtiges Paßwort mitloggt, merkst Du nichts davon.

Klar, s/key ist ebensowenig ein Allheilmittel wie ssh,
aber beide haben ihre Existenzberechtigung.
Es kann sich halt auch nicht jeder einen dedizierten
Kerberos-Server in die Abstellkammer stellen ... ;-)

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message