Re: S/Key Nutzung

From: Oliver Fromme <olli(at)lurza.secnetix.de>
Date: Fri, 12 Jan 2007 09:58:11 +0100 (CET)

Sebastian Stolz wrote:
> So hatte ich es mir schon gedacht! Ich muss mich öfters von
> unserem ISP aus per ssh auf unserem Server anmelden, von einem mir
> unbekannten Rechner... da ist so ein Verfahren wie du schon sagst
> viel besser, als direkt anmelden. Was ich aber noch als schlecht
> betrachte ist die Tatsache, das ich mich als normaler Benutzer
> anmelde und dann per su das System administriere... wenn da ein
> Keylogger installiert wäre, dann hätte ich wohl auch verloren...

Nunja, erstmal müsste ein Angreifer als normaler User (der
Mitglied der wheel-Gruppe ist) auf das System kommen, um
die Kenntnis des root-Paßworts ausnutzen zu können.

Aber Du hast natürlich recht, dass das ein Problem ist.
Du kannst aber auch für su Einmal-Paßwörter verwenden,
wenn Du magst.

> [RSA-SecurID-Karten]
> ja, ich hab auch mal in Entwicklerforen gesucht und die Problematik
> erkannt. Was mir eben gefallen hat war die Tatsache, dass der Server
> und dieser Token die selben Zahlen zur selben Zeit hatten...

Nunja, Server und Token-Karten verwenden denselben (gehei-
men) OTP-Algorithmus und erzeugen somit dieselbe Sequenz.
In der Karte ist eine relativ genaue Quartz-Zeitbasis, so
dass der Server weiß, welches Element die Karte gerade
anzeigt. Darüberhinaus hat der Server eine gewisse Tole-
ranz (+/- 1 Minute), indem er auch die unmittelbar vorher-
gehenden und nachfolgenden Zahlen akzeptiert -- in diesem
Fall merkt er sich die Abweichung und speichert sie als
»Drift« dieser Token-Karte, um zukünftig wieder synchron
zu sein.

Ist also alles schon relativ clever ausgeheckt. Umso mehr
wundert es mich, dass sie für die PIN-Eingabe nur einen
primitiven XOR-Algorithmus verwenden.

Gruß
   Olli

-- 
Oliver Fromme,  secnetix GmbH & Co. KG, Marktplatz 29, 85567 Grafing
Dienstleistungen mit Schwerpunkt FreeBSD: http://www.secnetix.de/bsd
Any opinions expressed in this message may be personal to the author
and may not necessarily reflect the opinions of secnetix in any way.
C++: "an octopus made by nailing extra legs onto a dog"
        -- Steve Taylor, 1998
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Fri 12 Jan 2007 - 10:00:47 CET

search this site