Freddy36 wrote:Ich wollte das Handy/PDA dafür nutzen, die grobe Idee:
Per Knopfdruck erzeuge ich mir auf dem Handy ein einmal Passwort mit dem ich mich dann per Bluetooth/WLAN/USB/... auf dem Handy einloggen kann.
Von dort aus baue ich dann z.B. die SSH Verbindung auf (Keys liegen auf dem Handy). Auf dem nicht vertrauenswürdigen Gerät kann ich das ganze dann normal benutzen. Für Passwörter, etc. habe ich aber immer die Option die direkt auf dem Handy einzugeben.
Ich gehe bei "nicht vertrauenswürdigen" Geräten immer davon aus, dass ich auf KEINEN FALL irgendein Gerät von mir mit denen verbinden will, da diese mein Gerät korrumpieren könnten.
Deshlab finde ich die One Time Passwords grade so schick, da diese auf meinem Handy generiert werden und von mir abgetippt werden und diese LogIn Information genau einmal Gültigkeit hat. Aber wie matzewe01 schon richtig bemerkt hat kann der Angreifer zumindest meinen Benutzernamen herausfinden, was die Chancen für einen (erfolgreichen) Angriff schon sehr stark erhöht. Deshalb ist die Authentifikation über einen zweiten "sicheren" Kanal (z.B. SMS von einer festgelegten Nr.) eine schicke Sache.
Ich frage mich ob nicht die Kombination aus beiden Systemen eine sichere Authentifikation ohne Übertragung von Wissen über Benutzername und Kennwort ermöglicht:
Meine Idee wäre nun wie folgt:
Um mich an meinem Server einzuloggen schicke ich diesem auf einem "sicheren" Kanal (z.B. SMS) eine Anfrage und der Server öffnet den Zugang für einen zufällig gewählten Benutzernamen und sendet mir diesen auf dem sicheren Kanal wieder zurück.
Danach folgt die "ganz normale" Anmeldeprozedur via. One Time Password (also ich bekomme eine Challenge und muss mit dieser, der Sequenznr. und meinem Passwort die Passphrase berechnen...)
Nach dem beenden der Session löscht der Server den Benutzer(-namen) wieder...
Das ist natürlich ein m.M. nach großer Aufriss, aber damit kann ich mich an meinem Server (ohne Hop) anmelden ohne den Benutzernamen und Kennwort einzugeben...
Gruß N.
(Vielleicht schreib ich nach Weihnachten mal ein Script dafür

)