Re: S/Key Nutzung

From: Sebastian Stolz <sebastian.stolz(at)arbeitskammer.de>
Date: Fri, 12 Jan 2007 07:59:32 +0100

Moin Oliver,

Oliver Fromme schrieb:
>
> Ja, ist es eigentlich schon. Es ist ja so, dass ssh allein
> nur dann sicher ist, wenn man _beiden_ Endpunkten (Server
> und Client) vertrauen kann und sie als sicher einstuft.
> Mit anderen Worten, ssh sichert nur die Verbindung ab, ist
> aber selbst von der Sicherheit der Endpunkte der Verbindung
> abhängig. Wenn z.B. auf dem Client ein Keylogger instal-
> liert ist, hast Du verloren, egal ob Du ssh verwendest oder
> etwas anderes.
>

So hatte ich es mir schon gedacht! Ich muss mich öfters von unserem ISP aus per ssh auf
unserem Server anmelden, von einem mir unbekannten Rechner... da ist so ein Verfahren
wie du schon sagst viel besser, als direkt anmelden. Was ich aber noch als schlecht betrachte
ist die Tatsache, das ich mich als normaler Benutzer anmelde und dann per su das System
administriere... wenn da ein Keylogger installiert wäre, dann hätte ich wohl auch verloren...

>
> Ich finde diese Teile eher suspekt, da sie auf einem ge-
> heimen Algorithmus basieren und es daher nicht möglich
> ist, ihre Sicherheit zu evaluieren. Darüber hinaus
> verwenden die SecurID-Karten, die ein Eingabefeld haben,
> einen simplen XOR-Algorithmus, um aus der PIN den Token
> zu generieren (man kann's im Kopf ausrechnen, ohne das
> Eingabefeld zu benutzen). Man könnte jetzt darüber
> streiten, ob an der Stelle XOR ausreichend ist oder
> nicht, aber ich bin der Ansicht, dass man sich an der
> Stelle ruhig ein bisschen mehr Mühe hätte geben können,
> und sei es nur aus kosmetischen Gründen.
>
> Ein weiteres Manko ist, dass sie -- wie allerdings auch
> viele andere Systeme -- nur eine einseitige Authentisierung
> des Benutzers gegenüber dem Server erlauben. Sie verwen-
> den kein Challenge-Response-Verfahren.
>

ja, ich hab auch mal in Entwicklerforen gesucht und die Problematik erkannt. Was mir eben gefallen
hat war die Tatsache, dass der Server und dieser Token die selben Zahlen zur selben Zeit hatten...

viele Grüße

Sebastian

To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 12 Jan 2007 - 08:01:05 CET

search this site