Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Hallo Robert, Robert Michel, 17.06.2006 (d.m.y): On Sat, 17 Jun 2006, Christian Schmidt wrote: On Fri, 16 Jun 2006, Christian Schmidt wrote: Als Alternative koenntest Du die Public-Key-Authentifizierung von SSH sondern auch etwas haben (ihren Secret Key). Wo ist denn das Problem, wenn der eigentliche Client-Rechner MindTerm via https ausgeliefert bekommt? Natürlich wäre es cool ein Cryptochip per USB in der Bibliothek, beim Freund oder im Internetcaffe einzustecken und so etwas gegen Keylogger bei der Passworteingabe zu haben... Du meinst es gibt ein SSH2 Java Client, der dies unterstützt? Nein. Ich meine, dass man MindTerm auf einen Server packt und dann via https darauf zugreift. Gruss, Christian Schmidt -- In der Politik ist es wie in der Mathematik: alles, was nicht ganz richtig ist, ist falsch. -- Edward Kennedy signature.asc Description: Digital signature
Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Hallo Robert! Robert Michel schrieb am Freitag, den 16. Juni 2006: Wie richtet man es ein, das man erst ein statisch Passwort wür den Benutzer bei SSH eingeben muß und dann erst die OPIE Eingabe bekommt? Das müßte über pam steuerbar sein. Ich glaube ein auth required pam_opie.so sollte dafür sorgen, dass immer nach dem OPIE Passwort gefragt wird. 1. könnten Externe das Loginverhalten mitloggen, können sie doch das hochzählen der IDs mitlesen Und wo ist dabei das Problem? Aus der ID kannst Du auf nichts schließen. 2. könnten die OTP in Hände Dritter fallen und ein nur im Kopf gespeichertes Passwort dagegen helfen Ja, es gibt aber java midlet fürs Handy, um bei Bedarf die passenden Passwörter zu generieren. 3. wenn beide Stufen getrennt gelogged würden wären die Logfiles auch übersichtlicher Ist das möglich? Hat jemand Stichwörter/URLs/Tipps für mich? Ich hab mal Opie hier dokumentiert: http://blog.256bit.org/archives/188-Einmalpasswoerter.html -- Ich zitiere RFC1036: Ich kommentiere: Ich ignoriere: de.alt.sysadmin.recovery
Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Hallo Robert, Robert Michel, 16.06.2006 (d.m.y): On Fri, 16 Jun 2006, Christian Schmidt wrote: Als Alternative koenntest Du die Public-Key-Authentifizierung von SSH verwenden. Da muessen dann die Benutzer nicht nur etwas wissen (ihre Passphrase), sondern auch etwas haben (ihren Secret Key). Das ist in der Tat interessant und werde ich sicherlich auch ausprobieren/nutzen, aber um sich als normale User unterwegs auf fremden Rechnern, z.B. mit Hilfe des SSH-Clintes Mindterm (Javaaplett) von meiner Bibliothek einzuloggen nicht nutzbar. Unter anderem deshalb dachte ich OTP mit einem normalen Passwort zu kombinieren. Wo ist denn das Problem, wenn der eigentliche Client-Rechner MindTerm via https ausgeliefert bekommt? Gruss, Christian Schmidt -- Jeder Narr kann die Wahrheit sagen, aber nur ein verhältnismäßig intelligenter kann gut lügen. -- Samuel Butler signature.asc Description: Digital signature
Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Salve Christian! On Sat, 17 Jun 2006, Christian Schmidt wrote: On Fri, 16 Jun 2006, Christian Schmidt wrote: Als Alternative koenntest Du die Public-Key-Authentifizierung von SSH sondern auch etwas haben (ihren Secret Key). Wo ist denn das Problem, wenn der eigentliche Client-Rechner MindTerm via https ausgeliefert bekommt? Natürlich wäre es cool ein Cryptochip per USB in der Bibliothek, beim Freund oder im Internetcaffe einzustecken und so etwas gegen Keylogger bei der Passworteingabe zu haben... Du meinst es gibt ein SSH2 Java Client, der dies unterstützt? mindterm: http://www.mindterm.com/products/80_MindTerm/ BSD-Licence alternative: Jsch, die ich noch nicht gestestet habe: http://www.jcraft.com/jsch/index.html Dort werden alle drei Verfahren unterstützt: * Userauth: password * Userauth: publickey(DSA,RSA) * Userauth: keyboard-interactive Aber verwendet man den key bei einem nicht vertrauenswürdigem Terminal? Unterstützen normale Webbroser mit Java auch den USB Zugriff per javax.usb? Wenn ja, könnte man ja auch auf USB-sticks zugreifen und Daten copieren, ja sogar kleine PCs wie Gumstix oder Wlanrouter an solche Terminals hängen und WiredX den X-Server per Java auf dem Termainal laufen lassen - hey den eigenen Laptop per USB anschließen und mit dem Javaapellet eine Internetanbindung für den eigenen Laptop herstellen... **g** Doch halt: ---8--- Windows Implementation * Is there an implementation for Windows? There is no certified implementation for Windows. ---8--- http://javax-usb.org/faq.html :( Also keine Cryptocard und ssh2 javaclint - wie schütze ich dann den Schlüssel bei nicht vertrauenswürdigen Workstations? Gruss rob
OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Salve ML! siehe http://www.pro-linux.de/berichte/opie.html --- 8 --- [EMAIL PROTECTED]:~$ ssh progn.org [EMAIL PROTECTED]'s Password:[Strg+D] otp-md5 498 ne2213 ext, Response: SOAK CUFF KEEL HEAT QUOD BONY [EMAIL PROTECTED]:~$ --- 8 --- Wie richtet man es ein, das man erst ein statisch Passwort wür den Benutzer bei SSH eingeben muß und dann erst die OPIE Eingabe bekommt? 1. könnten Externe das Loginverhalten mitloggen, können sie doch das hochzählen der IDs mitlesen 2. könnten die OTP in Hände Dritter fallen und ein nur im Kopf gespeichertes Passwort dagegen helfen 3. wenn beide Stufen getrennt gelogged würden wären die Logfiles auch übersichtlicher Ist das möglich? Hat jemand Stichwörter/URLs/Tipps für mich? Schönes WE, rob
Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Hallo Robert, Robert Michel, 16.06.2006 (d.m.y): Wie richtet man es ein, das man erst ein statisch Passwort wür den Benutzer bei SSH eingeben muß und dann erst die OPIE Eingabe bekommt? 1. könnten Externe das Loginverhalten mitloggen, können sie doch das hochzählen der IDs mitlesen 2. könnten die OTP in Hände Dritter fallen und ein nur im Kopf gespeichertes Passwort dagegen helfen 3. wenn beide Stufen getrennt gelogged würden wären die Logfiles auch übersichtlicher Ist das möglich? Hat jemand Stichwörter/URLs/Tipps für mich? Als Alternative koenntest Du die Public-Key-Authentifizierung von SSH verwenden. Da muessen dann die Benutzer nicht nur etwas wissen (ihre Passphrase), sondern auch etwas haben (ihren Secret Key). Gruss, Christian Schmidt -- Cogito, ergo sum. Ich denke, also bin ich. -- René Descartes (Meditationes) signature.asc Description: Digital signature
Re: OneTimePassword ssh login (OPIE) mit normalem Passwort kombinieren?
Salve Christian! On Fri, 16 Jun 2006, Christian Schmidt wrote: Als Alternative koenntest Du die Public-Key-Authentifizierung von SSH verwenden. Da muessen dann die Benutzer nicht nur etwas wissen (ihre Passphrase), sondern auch etwas haben (ihren Secret Key). Das ist in der Tat interessant und werde ich sicherlich auch ausprobieren/nutzen, aber um sich als normale User unterwegs auf fremden Rechnern, z.B. mit Hilfe des SSH-Clintes Mindterm (Javaaplett) von meiner Bibliothek einzuloggen nicht nutzbar. Unter anderem deshalb dachte ich OTP mit einem normalen Passwort zu kombinieren. Gruss rob -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)