Einmal Passwörter

Lesenswerte Artikel, Anleitungen und Diskussionen
bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Einmal Passwörter

Post by bungeebug » 2004-04-17 10:08

Hi all,

ich bin grad dabei meinen Root Server "sicher" zumachen. Mir schwebt davor, um mich vor möglichen PW Crackern zuschützen, zumindest den Root-Account mit einmal Passwörtern zuschützen. Nur leider bringt die Idee mir alleine nicht viel. Mit fehlt die nötige Software. Hat hier schon jemand so etwas gemacht und erfolgreich umgesetzt?

t0x1c
Posts: 127
Joined: 2003-10-09 19:59
Location: Nähe Kiel

Re: Einmal Passwörter

Post by t0x1c » 2004-04-17 10:35

Einmal Passwörter?
Die willst Du dir dann nach jedem Einloggen neu merken? ;)
Bessere Idee:
Root-Login per SSH abschalten
Dem Standard-User die Rechte eingrenzen
Allen usern lange Passwörter geben, die keinen Sinn ergeben, am besten viel mit Sonderzeichen.

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: Einmal Passwörter

Post by bungeebug » 2004-04-17 10:49

Hi,

das war die Alternative. Ich wollte in der Tat aber eigendlich sowas haben wie PIN's bei der Bank. Man hat ne Liste und für jeden Login nimmt man ein Passwort. Nach dem Logout verfällt das dann und man streicht es auf deiner Liste durch. Wenn nur noch 10 Passwörter über sind generiert der Server eine neue Liste und legt sie im Home-Dir des Users ab. Sicher hilft das alles nichts wenn der Server per Remote Dienst angegriffen wird. Aber dem kann man ja anders vorbeugen.

oxygen
RSAC
Posts: 2179
Joined: 2002-12-15 00:10
Location: Bergheim

Re: Einmal Passwörter

Post by oxygen » 2004-04-17 13:00

Sorry, aber das ist doch alles Unsinn. Den Login per Passwort abschalten und nur noch key Authentifikation erlauben wäre das einfachste und sicherste.

bungeebug
Posts: 187
Joined: 2004-04-14 10:08

Re: Einmal Passwörter

Post by bungeebug » 2004-04-17 13:17

Dann habe ich wieder das Problem das die "Nutzbarkeit" leidet. Ich benutze den Server nicht alleine und meinen Mitnutzern kann ich das nicht zumuten, da sie mit den aktuellen Sicherheitsmaßnahmen schon belastet genug sind. Ihnen ist wohl auch der Sinn einer solchen Sicherung nicht klar sein und deswegen werde ich auf diese Lösung verzichten müssen.

Im mom habe ich es so wie oben schon beschrieben, das root sich nur über einen anderen User einloggen kann. Dabei wird es dann wohl auch bleiben wenn es keine sichere und sinnvolle Lösung für dieses Problem gibt.

simcen
RSAC
Posts: 338
Joined: 2003-02-12 14:35
Location: Bern, Schweiz

Re: Einmal Passwörter

Post by simcen » 2004-04-17 13:49

Wenn du für jeden deiner Kumpels eine Key-Authetification einrichtet, müssen sie nicht einmal mehr Username und Passwort eingeben, so wird es noch "leichter" für sie. Und wenn du ihnen zeigst oder erklärst, wie sie die Authetification einrichten, werden sie sicherlich nichts dagegen haben.

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: Einmal Passwörter

Post by compositiv » 2004-04-17 17:11

Ã?brigends finde ich "Einmalpasswörter" generell nicht so unsinnig, auch wenn das IMHO eher weniger was für einen Internetserver ist.

Eine andere Form funktioniert so, dass man einen kleinen IC, häufig in EC-Karten-Form, hat, der ständig Passworter aus der eigenen NutzerID generiert, die nur kurze Zeit gültig sind, z.B. 30 Sekunden.

Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.

SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)

Ansonsten stimme ich meinen Vorrednern zu, SSH-Public-Key-Auth ist wohl eher das was Du suchst.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einmal Passwörter

Post by captaincrunch » 2004-04-17 18:17

Für Linux kenne ich da allerdings überhaupt keine Implementation, da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
Es gibt mehr als genug OTP-Implemetierungen für Linux. Kleine Auswahl:
http://www.google.de/search?q=linux+pam ... uche&meta=
http://www.google.de/search?hl=de&ie=UT ... uche&meta=

Auch die Behauptung, dass Linux nicht in "Hochsicherheitsumgebungen" genutzt wird, mag ich beim besten Willen gar nicht glauben. Einfaches Beispiel: NSA.

Um mal auf's Kernthema zurückzukommen:
1. root sollte sich erst gar nicht remote einloggen dürfen.
2. OTP will man dafür nicht nutzen.
3. PubKey-Auth ist die beste Methode, so etwas zu realisieren, dadurch kannst du darüber hinaus z.B. noch genau nachvollziehen, wer sich wann von wo eingeloggt hat.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-17 18:37

Compositiv wrote:da Linux, hauptsächlich wg. mangelnder Spezifikationen / Zertifizierungen in Hochsicherheitsbereichen i.d.R. icht eingesetzt wird.
http://www.suse.de/en/company/press/pre ... /eal3.html
http://www.suse.de/de/company/press/pre ... /eal3.html
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

compositiv
Posts: 193
Joined: 2003-01-22 14:58
Location: Hamburg

Re: Einmal Passwörter

Post by compositiv » 2004-04-17 19:27

Compositiv wrote:SuSE und IBM unternehmen im Moment ja Anstrengungen Linux auch für den Bereich hoffähig zu machen, allerdings vermutlich nicht auf PC-Plattform %)
,)
aber sorry für OT

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-17 19:32

Der "Moment" war vergangenes Jahr und die "Bemühungen" sind seit Monaten Stand der Technik ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einmal Passwörter

Post by captaincrunch » 2004-04-17 20:06

Und wenn wir bereits OT sind: EAL3 und 4 sind zwar ganz nett, zeigen aber auch ncht viel mehr, als dass bei der Entwicklung in Teilbereichen auch an Sicherheit gedacht wurde. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-17 21:28

Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen. Zudem sind die Kriterien sehr hoch gesteckt, sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden. Desweiteren lässt sich auch ein anspruchsloseres Hochverfügbarkeitssystem nicht ohne entsprechende Sicherheitsmerkmale ereichen.
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

phantom
Posts: 74
Joined: 2003-01-20 18:06

Re: Einmal Passwörter

Post by phantom » 2004-04-18 06:28

Schau Dir mal RSA SecureID an.

dea
RSAC
Posts: 619
Joined: 2002-08-13 12:05

Re: Einmal Passwörter

Post by dea » 2004-04-18 11:19

Joe User wrote:... sonst dürften die zertifizierten Systeme beispielsweise nicht im US-Verteidigungsministerium, der US-Navy und anderen sensible(re)n Umgebungen eingesetzt werden.
Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)

SCNR

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einmal Passwörter

Post by captaincrunch » 2004-04-18 12:49

Naja, das komplette System muss den jeweiligen Kriterien, welche auf internationalen Standards, wie etwa ISO15408 beruhen, genügen, nicht nur in Teilbereichen.
Schon klar. Ich bezog mich nur darauf, dass sich EAL3 und 4 zwar nett anhören, man aber auch damit noch weit entfernt von "echter Sicherheit" ist. ;)
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-18 12:58

dea wrote:Und genau deshalb setzt (u.a.) die US Navy in sensiblen Bereichen auch Windows ein ... ;)
Was spricht gegen den Einsatz von zertifizierten NT4/NT5-Systemen?

Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-18 13:02

@CC

Du weisst es, ich weiss es, die Mehrzahl der Leser (leider/glücklicherweise) nicht ;)
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einmal Passwörter

Post by captaincrunch » 2004-04-18 13:07

Umkehrschluss: Warum wird Adamantix nicht in sensiblen Bereichen eingesetzt?
Dazu müsstest du "sensible Bereiche" definieren. ;)

Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere. :cry:
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc

User avatar
Joe User
Project Manager
Project Manager
Posts: 11583
Joined: 2003-02-27 01:00
Location: Hamburg

Re: Einmal Passwörter

Post by Joe User » 2004-04-18 13:34

CaptainCrunch wrote:Dazu müsstest du "sensible Bereiche" definieren. ;)
Meine Wohnung 8)
CaptainCrunch wrote:Hauptgrund dürfte aber sein, dass Adamantix (noch) nicht die nötige Infrastruktur hat, um sicherheitstechnisch so up to date zu sein wie andere. :cry:
Infrastruktur = Manpower?
Infrastruktur = Netzwerk?
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

captaincrunch
Userprojekt
Userprojekt
Posts: 7225
Joined: 2002-10-09 14:30
Location: Dorsten

Re: Einmal Passwörter

Post by captaincrunch » 2004-04-18 14:01

Infrastruktur == Manpower

Mit z.Zt. drei aktiven Entwicklern sind Dinge wie pfeilschnelle Sicherheitsupdates etwas schwieriger. Auch hier ist aber Besserung in Sicht.
DebianHowTo
echo "[q]sa[ln0=aln256%Pln256/snlbx]sb729901041524823122snlbxq"|dc