© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Sebastian Stolz wrote:
> So hatte ich es mir schon gedacht! Ich muss mich öfters von
> unserem ISP aus per ssh auf unserem Server anmelden, von einem mir
> unbekannten Rechner... da ist so ein Verfahren wie du schon sagst
> viel besser, als direkt anmelden. Was ich aber noch als schlecht
> betrachte ist die Tatsache, das ich mich als normaler Benutzer
> anmelde und dann per su das System administriere... wenn da ein
> Keylogger installiert wäre, dann hätte ich wohl auch verloren...
Nunja, erstmal müsste ein Angreifer als normaler User (der
Mitglied der wheel-Gruppe ist) auf das System kommen, um
die Kenntnis des root-Paßworts ausnutzen zu können.
Aber Du hast natürlich recht, dass das ein Problem ist.
Du kannst aber auch für su Einmal-Paßwörter verwenden,
wenn Du magst.
> [RSA-SecurID-Karten]
> ja, ich hab auch mal in Entwicklerforen gesucht und die Problematik
> erkannt. Was mir eben gefallen hat war die Tatsache, dass der Server
> und dieser Token die selben Zahlen zur selben Zeit hatten...
Nunja, Server und Token-Karten verwenden denselben (gehei-
men) OTP-Algorithmus und erzeugen somit dieselbe Sequenz.
In der Karte ist eine relativ genaue Quartz-Zeitbasis, so
dass der Server weiß, welches Element die Karte gerade
anzeigt. Darüberhinaus hat der Server eine gewisse Tole-
ranz (+/- 1 Minute), indem er auch die unmittelbar vorher-
gehenden und nachfolgenden Zahlen akzeptiert -- in diesem
Fall merkt er sich die Abweichung und speichert sie als
»Drift« dieser Token-Karte, um zukünftig wieder synchron
zu sein.
Ist also alles schon relativ clever ausgeheckt. Umso mehr
wundert es mich, dass sie für die PIN-Eingabe nur einen
primitiven XOR-Algorithmus verwenden.
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. C++: "an octopus made by nailing extra legs onto a dog" -- Steve Taylor, 1998 To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Fri 12 Jan 2007 - 10:00:47 CET