Re: [rlug] ssh keys - verificare lungime passphrase
cum verificati daca passphrase-ul corespunde standardurilor de securitate > in vigoare ? > Care ar fi acele standarde in vigoare? E ceva mentionat in ISO 27001 sau e vorba de ceva politici interne? Chiar daca cineva verifica doar ca aude 20 de clicuri de taste, de unde stie ca nu e ceva de genul 12121212121212? Ma gandeam ca ar fi posibil urmatorul workflow (propunere pur teoretica, nu am implementat asa ceva): - utilizatorului i se geneneraza pe statie perechea de chei iar cea privata se protejaza cu un passphrase random sau introdus de altcineva decat utilizatorul (ex. security officer sau alt trusted party) - "cumva" (TM) passphrase-ul se inroleaza in keyring-ul utilizatorului, care poate fi accesat doar dupa logarea reusita cu parola acestuia - parola utilizatorului poate fi fortata sa respecte toate regulile de bun simt (folosind de ex. apg http://linux.die.net/man/1/apg) si se poate verifica in cadrul unui audit ca s-a schimbat la X zile, ca are un anumit pattern, se poate incerca un brute force attack samd. In felul asta s-ar asigura urmatoarele: - utilizatorul final isi cunoaste doar parola de login pe statie, o data introdusa corect passphrase-ul e decriptat din keyring si pasat "cumva" (TM) catre ssh-add/ssh-agent care incarca cheia privata si va permite folosirea pe perioada sesiunii - passphrase-urile sunt introduse de un "trusted party" sau generate random, deci respecta orice policy se doreste - utilizatorul NU va sti niciodata passphrase-ul ca sa poata sa il schimbe mai tarziu cu unul f. simplu sau sa il stearga - chiar daca isi va putea copia cheia proprie din ~/.ssh nu va putea fugi cu ea sa o foloseasca in alta parte pentru ca nu are passphrase-ul - securitatea asupra cheii private se transfera asupra omului de incredere care a generat passphrase-ul (daca e o agentie/companie care are nevoie de audit in zona asta, sigur are si un ofiter de securitate de incredere); eventual daca se poate genera printr-o procedura cu passphrase random, cu atat mai bine, ideea e doar sa ajunga in keyring si criptata cu parola de login fara sa o vada utilizatorul final sau altcineva. - securitatea keyring-ului este enforced de apg sau alte proceduri care nu lasa utilizatorul sa isi puna parole triviale pentru login. Daca exista bube majore in "cumva"-urile mentionate mai sus (nu stiu de ex. daca ssh-add/ssh-agent pot prelua direct passphrase-ul din keyring dupa login), remember it's friday. Alte variante de protectie: tokenuri (ex. Yubikey) sau alte metode 2FA, OTP etc. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
pe langa faptul ca e greu sa demonstezi ca un passphrase la cheie are sau nu X caractere fara sa il vezi pe proprietarul acesteia tastandu-le, nu il impiedica nimeni sa puna passphrase 123 dupa ce trece auditul :) probabil trebuie verificate la audit si ce controale exista pentru a proteja cheia privata pentru ssh, ca mai limitezi un pic posibilele probleme. 2013/4/18 Petru Ratiu : > 2013/4/18 Mișu Moldovan > >> 2013/4/18 Iulian Roman : >> > cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei >> > care fac audit asta ? Adica practic nu poate fi demonstrat ca esti >> > incompliant atit timp cit nu poti verifica lungimea passphrase-ului. >> >> Mi s-a întâmplat o dată să am de a face cu un auditor din ăsta, >> lucrând în parte pentru o firmă ce avea nevoie de un asemenea audit. >> Strategia lui de bază mi s-a părut a fi „seeing is believing”. Prin >> urmare, nu văd de ce nu te-ar pune să-i demonstrezi că lungimea >> depășește 20 de caractere introducând mai rar fraza parolă, în timp ce >> el numără tastele apăsate după cum le aude, nu e nevoie să se uite, o >> condiție fiind bineînțeles reușita autentificării. >> >> Deci părerea mea de două parale e că se cam poate... Nu contest că >> poți și trișa, mai apăsând Shift, Ctrl, Alt ori un caracter greșit și >> apoi Backspace. Teoretic cred că se poate și uita pentru a evita o >> asemenea stratagemă, apoi tu fiind liber să-ți schimbi fraza parolă, >> dacă o consideri compromisă. Dacă o face prin sondaj în rândul mai >> multor utilizatori, ai pus-o, vrând-nevrând tot tre' să impui (chiar >> și informal) ca utilizatorii să folosească cel puțin 20 de caractere. >> > > Chiar si asa, nu-l impiedica nimic pe tovarasu' utilizator sa aiba o copie > fara parola a cheii pe undeva. IMHO treburile astea se rezolva cel mai > convenabil prin politici de genul "utilizatorii se obliga sa aiba > passphrase asa si pe dincolo pe cheie, contravenientii vor fi aspru > sanctionati", cuplat cu ciulit ocazional (si evident pentru ei) urechea > cand isi baga passphrase-ul ca sa vezi ca se si aplica. > > > -- > P. > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
2013/4/18 Mișu Moldovan > 2013/4/18 Iulian Roman : > > cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei > > care fac audit asta ? Adica practic nu poate fi demonstrat ca esti > > incompliant atit timp cit nu poti verifica lungimea passphrase-ului. > > Mi s-a întâmplat o dată să am de a face cu un auditor din ăsta, > lucrând în parte pentru o firmă ce avea nevoie de un asemenea audit. > Strategia lui de bază mi s-a părut a fi „seeing is believing”. Prin > urmare, nu văd de ce nu te-ar pune să-i demonstrezi că lungimea > depășește 20 de caractere introducând mai rar fraza parolă, în timp ce > el numără tastele apăsate după cum le aude, nu e nevoie să se uite, o > condiție fiind bineînțeles reușita autentificării. > > Deci părerea mea de două parale e că se cam poate... Nu contest că > poți și trișa, mai apăsând Shift, Ctrl, Alt ori un caracter greșit și > apoi Backspace. Teoretic cred că se poate și uita pentru a evita o > asemenea stratagemă, apoi tu fiind liber să-ți schimbi fraza parolă, > dacă o consideri compromisă. Dacă o face prin sondaj în rândul mai > multor utilizatori, ai pus-o, vrând-nevrând tot tre' să impui (chiar > și informal) ca utilizatorii să folosească cel puțin 20 de caractere. > Chiar si asa, nu-l impiedica nimic pe tovarasu' utilizator sa aiba o copie fara parola a cheii pe undeva. IMHO treburile astea se rezolva cel mai convenabil prin politici de genul "utilizatorii se obliga sa aiba passphrase asa si pe dincolo pe cheie, contravenientii vor fi aspru sanctionati", cuplat cu ciulit ocazional (si evident pentru ei) urechea cand isi baga passphrase-ul ca sa vezi ca se si aplica. -- P. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
2013/4/18 Iulian Roman : > cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei > care fac audit asta ? Adica practic nu poate fi demonstrat ca esti > incompliant atit timp cit nu poti verifica lungimea passphrase-ului. Mi s-a întâmplat o dată să am de a face cu un auditor din ăsta, lucrând în parte pentru o firmă ce avea nevoie de un asemenea audit. Strategia lui de bază mi s-a părut a fi „seeing is believing”. Prin urmare, nu văd de ce nu te-ar pune să-i demonstrezi că lungimea depășește 20 de caractere introducând mai rar fraza parolă, în timp ce el numără tastele apăsate după cum le aude, nu e nevoie să se uite, o condiție fiind bineînțeles reușita autentificării. Deci părerea mea de două parale e că se cam poate... Nu contest că poți și trișa, mai apăsând Shift, Ctrl, Alt ori un caracter greșit și apoi Backspace. Teoretic cred că se poate și uita pentru a evita o asemenea stratagemă, apoi tu fiind liber să-ți schimbi fraza parolă, dacă o consideri compromisă. Dacă o face prin sondaj în rândul mai multor utilizatori, ai pus-o, vrând-nevrând tot tre' să impui (chiar și informal) ca utilizatorii să folosească cel puțin 20 de caractere. ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
cam la asta ma gindisem ca unica metoda, dar ma intreb cum verifica cei care fac audit asta ? Adica practic nu poate fi demonstrat ca esti incompliant atit timp cit nu poti verifica lungimea passphrase-ului. 2013/4/18 Petru Ratiu > Fara wrapper peste ssh-keygen sau ssh-add nu prea ai cum. > > > 2013/4/18 Iulian Roman > > > lungimea passphrase-ului ma interesa, nu a key-ului. aparent, in anumite > > standarde de securitate se mentioneaza ca passphrase-ul trebuie sa aiba > un > > anumit format si minimum 20 caractere. Intrebarea mea este cum se poate > > verifica asta ? E simplu de verificat daca o cheie are sau nu passphrase, > > dar cum se poate verifica daca e suficient de "strong" ? > > > > > > 2013/4/18 manuel "lonely wolf" wolfshant > > > > > On 04/18/2013 02:55 PM, Iulian Roman wrote: > > > > Este vreo metoda/modalitate de a forta/verifica lungimea > > passphrase-ului > > > > la generarea/utilizarea cheilor ? De asemeni, pentru cheile deja > > > generate, > > > > cum verificati daca passphrase-ul corespunde standardurilor de > > securitate > > > > in vigoare ? > > > > > > > > > > > > > > poate te ajuta > > > > > > > > > http://serverfault.com/questions/325467/i-have-a-keypair-how-do-i-determine-the-key-length > > > > > > ___ > > > RLUG mailing list > > > RLUG@lists.lug.ro > > > http://lists.lug.ro/mailman/listinfo/rlug > > > > > ___ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
Fara wrapper peste ssh-keygen sau ssh-add nu prea ai cum. 2013/4/18 Iulian Roman > lungimea passphrase-ului ma interesa, nu a key-ului. aparent, in anumite > standarde de securitate se mentioneaza ca passphrase-ul trebuie sa aiba un > anumit format si minimum 20 caractere. Intrebarea mea este cum se poate > verifica asta ? E simplu de verificat daca o cheie are sau nu passphrase, > dar cum se poate verifica daca e suficient de "strong" ? > > > 2013/4/18 manuel "lonely wolf" wolfshant > > > On 04/18/2013 02:55 PM, Iulian Roman wrote: > > > Este vreo metoda/modalitate de a forta/verifica lungimea > passphrase-ului > > > la generarea/utilizarea cheilor ? De asemeni, pentru cheile deja > > generate, > > > cum verificati daca passphrase-ul corespunde standardurilor de > securitate > > > in vigoare ? > > > > > > > > > > poate te ajuta > > > > > http://serverfault.com/questions/325467/i-have-a-keypair-how-do-i-determine-the-key-length > > > > ___ > > RLUG mailing list > > RLUG@lists.lug.ro > > http://lists.lug.ro/mailman/listinfo/rlug > > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
Nu se poate, pentru ca passphrase-ul nu se transmite pe retea. Se foloseste doar la decriptarea cheii private. On 04/18/2013 03:06 PM, Iulian Roman wrote: > lungimea passphrase-ului ma interesa, nu a key-ului. aparent, in anumite > standarde de securitate se mentioneaza ca passphrase-ul trebuie sa aiba un > anumit format si minimum 20 caractere. Intrebarea mea este cum se poate > verifica asta ? E simplu de verificat daca o cheie are sau nu passphrase, > dar cum se poate verifica daca e suficient de "strong" ? > > -- Best regards, Adrian MintaMA3173-RIPE tel. +4.0212.022.660 +4.0726.110.369 ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
lungimea passphrase-ului ma interesa, nu a key-ului. aparent, in anumite standarde de securitate se mentioneaza ca passphrase-ul trebuie sa aiba un anumit format si minimum 20 caractere. Intrebarea mea este cum se poate verifica asta ? E simplu de verificat daca o cheie are sau nu passphrase, dar cum se poate verifica daca e suficient de "strong" ? 2013/4/18 manuel "lonely wolf" wolfshant > On 04/18/2013 02:55 PM, Iulian Roman wrote: > > Este vreo metoda/modalitate de a forta/verifica lungimea passphrase-ului > > la generarea/utilizarea cheilor ? De asemeni, pentru cheile deja > generate, > > cum verificati daca passphrase-ul corespunde standardurilor de securitate > > in vigoare ? > > > > > > poate te ajuta > > http://serverfault.com/questions/325467/i-have-a-keypair-how-do-i-determine-the-key-length > > ___ > RLUG mailing list > RLUG@lists.lug.ro > http://lists.lug.ro/mailman/listinfo/rlug > ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
Re: [rlug] ssh keys - verificare lungime passphrase
On 04/18/2013 02:55 PM, Iulian Roman wrote: > Este vreo metoda/modalitate de a forta/verifica lungimea passphrase-ului > la generarea/utilizarea cheilor ? De asemeni, pentru cheile deja generate, > cum verificati daca passphrase-ul corespunde standardurilor de securitate > in vigoare ? > > poate te ajuta http://serverfault.com/questions/325467/i-have-a-keypair-how-do-i-determine-the-key-length ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
[rlug] ssh keys - verificare lungime passphrase
Este vreo metoda/modalitate de a forta/verifica lungimea passphrase-ului la generarea/utilizarea cheilor ? De asemeni, pentru cheile deja generate, cum verificati daca passphrase-ul corespunde standardurilor de securitate in vigoare ? ___ RLUG mailing list RLUG@lists.lug.ro http://lists.lug.ro/mailman/listinfo/rlug
