Re: S/Key und ssh

Harold Gutch <logix(at)foobar.franken.de> wrote:
> On Thu, May 24, 2001 at 07:19:18PM +0200, Oliver Fromme wrote:
> > Programme, die Tastatureingaben mitloggen, gibt es diverse.
> > Genau gegen dieses Problem helfen OTP-Tools (z.B. s/key).
> >
> > Du hast insofern recht, als daß es nicht wirksam hilft,
> > wenn ein automatisiertes Programm _sofort_ das Paßwort
> > nimmt und einen Einlogforgang damit macht, bevor der eigene
> > abgeschlossen ist. So ein Programm ist mir allerdings
> > nicht bekannt -- das muß nicht heißen, daß es sowas nicht
> > gibt, aber auf jeden Fall dürfte sowas schonmal weniger
> > verbreitet sein. Davon abgesehen merkt man in dem Fall
> > wenigstens sofort, daß etwas passiert ist. Wenn jemand
> > Dein richtiges Paßwort mitloggt, merkst Du nichts davon.
>
> Noe, an was ich eher dachte, war ein Client, der dich einloggen
> laesst, und ab dann [...]

Das ist ja vom Effekt her genau das, was ich schrieb
(sofortige Übernahme, nachdem das Klartextpaßwort dem
gehackten Client bekannt ist).

Aber wie gesagt -- das ist immer noch besser als ssh
alleine. Sein reguläres Paßwort an einer "fremden"
Tastatur einzugeben (egal ob mit oder ohne ssh) halte
ich für ziemlich naiv. Wie ich schon erwähnte, Tasta-
tursniffer gibt es wie Sand am Meer, und jeder WinDAU
kann die bedienen.

Gruß
   Olli

-- 
Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
"All that we see or seem is just a dream within a dream" (E. A. Poe)
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message