Jednorazova hesla (Re: Hack suse - ssh?)
Michal Dobes
dobes na tesnet.cz
Neděle Duben 8 21:31:42 CEST 2001
rad0 misovic wrote:
> poradte niekto pls. nejaky link/info o jednorazovych heslach. Mam masiny na
> debiane a rad by som si tam nieco take installol.
Nejjednodussi a nejlevnesi je system S/Key. Pozor, existje nekolik
systemu s timhle jmenem, stejnym principem a jinym algoritmem.
Bud musite mit program, ktery na zaklade vaseho tajneho hesla
a poradoveho cisla generuje nasledujici heslo k pouziti nebo
pouzivate knihu hesel.
S prvnim je problem, ze tomu programu musite verit, zvlaste pri
pousteni na cizim stroji. Pri druhe metode mate u sebe na papiru
treba 30 predgenrovanych hesel a po pouziti je skrtate.
Prislusny generator a pam modul jiste freshmeat podvrhne.
Pohodlnejsi a nakladnejsi zpusob je pouziti nejakych HW tokenu,
jsou obvykle v podobe privesku na klice, kalkulacky, platebni
karty, software pro Palmy atd. Pak vam nasledujici heslo generuje
tento token a ten je sam o sobe obvykle chranen PINem.
Jsou dva druhy autorizace, jednosmerna a challenge/respense.
Pri prvni vam token generuje jedno heslo za druhym k pouziti,
obvykle odvozeno od tejneho klice, casu a poctu pouziti. Pri
druhem vam server posle nejaky retezec, ten pomoci tokenu
zasifrujete a odpoved poslete zpet, tu si server overi.
Ja tu zkusebne provozuji Cryptocard RB-1 tokeny
( http://www.cryptocard.com/ , dodava Infima, klidne i pujci).
Nepouzivam jejich CryptoAdmin server, ale free pam_smxs. Po te,
co jsem v nem opravil par chybicek se stava funkcni.
Pak je cela rada dalsich firem, treba RSA je dodava, SafeWood,
SecureComputing a dalsi.
Teoreticky se par zajimavych odkazu da najit i zde:
http://www.timberlinetechnologies.com/products/devkit.html
Majkl
Další informace o konferenci Linux