Von "nicht vertrauenswürdigen" Geräten sicher auf dem eigenen Server einloggen.

[noobiesoft]

Hallo,

Ich würde mich gerne ab und zu von Rechnern denen ich nicht vertraue (Rechner bei Bekannten, Internetcafes etc.) auf meinen Servern einloggen.

Dazu habe ich auf einem Testgerät bei mir zu Hause das OPIE-Paket installiert und damit den Zugriff via. One Time Passwords konfiguriert (Ein gutes HowTo). (und mittels http://tanso.net/j2me-otp/ kann ich die Passwörter mit meinem Handy berechnen...)
Das klappt alles auch wirklich gut und alles ist toll, ich logge mich also bei meinem Rechner ein ohne das ein Keylogger oder sonst was. mein Passwort oder meine Key-file... klauen kann. (also doch mein Einmalpasswort kann er klauen, hilft aber nur bei einer Man-In-The-Middle-Attacke...)

Nun frage ich mich allerdings wie sicher dieses Verfahren im produktiven Einsatz ist. Hat hier jemand Erfahrungen damit oder hat Informationen dazu? (Google hat mir relativ wenig zu Tage gefördert)
Oder bin ich mit der Methode vollkommen auf dem Holzweg und es gibt bessere Methoden?

Gruß

N.

[noobiesoft]

http://www.rsa.com/node.aspx?id=1156

http://www.rsa.com/products/securid/dat ... lowres.pdf

Wenn ich es richtig verstanden habe ist es doch "nur" ein normales One Time Password welches alle 60 sek eine challenge weiter gesetzt wird. (btw: da gibt es ein Gerät in welches ich KEIN Passwort eingeben muss sondern einfach alle 60 sek ein neues PW rausgibt wenn ich auf den Knopf drücke )

Passwörter sind immer mehr oder weniger Sicher.
Wenn man den Benutzer herausfindet, ( Blick über die Schulter ) ist es mit einer Brute force Attacke nur eine Frage der Zeit das richige zu erwischen.

Da ist was dran, allerdings ist es bei den Einwegpasswörtern schon etwas schwieriger, da die Phrasen relativ lang sind (aber dafür nur aus Buchstaben bestehen...) und diese ja auch in (konfigurierten) Abständen wechseln...
(Das ist z.B. ein Einwegpasswort: "HILL ELK AMOK NOOK CITY FIRM")

Bei solchen Fällen wie von dir genannt, gehe ich immer über den Weg eines Hops.
z.B. tunnele ich über den HOP (SSL Tunnel) den Port des Zielsystemes welcher von "aussen" nicht zu erreichen ist.

Dort wiederum geht die Anmeldung dann mit ssh und auth key erst weiter.
Also entweder über den Hop oder direkt.
Schützt mich zwar erstmal nicht vor Keyloggern und co, dafür ist der HOP in einer DMZ und wird per SMS on demand für ein Netz oder IP freigeschaltet.
Logge ich mich dort aus, werden die Regeln wieder umgeschrieben.
Alle anmeldeversuche werden per Email und SMS weiter geleitet.
Also auch für den Fall eines Missbrauches, wurde zumindest dieser dokumentiert und Ich per SMS benachrichtigt.

Und passworte in üblicher Länge können einfacher und schneller als ein 128 BIT SSH Key erraten werden.

Gruss Matthias

Ich habe bislang immer mein Auth Key auf meinem USB-Stick mit mir rumgeschleift, (bzw. ich schleife immer noch ^^) aber ich bin paranoid genug um zu wissen, dass wenn ich den Stick irgendwo einstecke das die Daten runterkopiert und mein Einlogvorgang mitgeschnitten werden könnten....
Deine SMS-Methode finde ich garnicht schlecht, allerdings könnte ich mir vorstellen, dass dieses auch sehr schnell zu einem Handy-DOS kommen könnte wenn jemand dich mal so richtig ärgern möchte........

Gruß

N.

[freddy36]

Ich wollte das Handy/PDA dafür nutzen, die grobe Idee:
Per Knopfdruck erzeuge ich mir auf dem Handy ein einmal Passwort mit dem ich mich dann per Bluetooth/WLAN/USB/... auf dem Handy einloggen kann.
Von dort aus baue ich dann z.B. die SSH Verbindung auf (Keys liegen auf dem Handy). Auf dem nicht vertrauenswürdigen Gerät kann ich das ganze dann normal benutzen. Für Passwörter, etc. habe ich aber immer die Option die direkt auf dem Handy einzugeben.

[noobiesoft]

Ich wollte das Handy/PDA dafür nutzen, die grobe Idee:
Per Knopfdruck erzeuge ich mir auf dem Handy ein einmal Passwort mit dem ich mich dann per Bluetooth/WLAN/USB/... auf dem Handy einloggen kann.
Von dort aus baue ich dann z.B. die SSH Verbindung auf (Keys liegen auf dem Handy). Auf dem nicht vertrauenswürdigen Gerät kann ich das ganze dann normal benutzen. Für Passwörter, etc. habe ich aber immer die Option die direkt auf dem Handy einzugeben.

Ich gehe bei "nicht vertrauenswürdigen" Geräten immer davon aus, dass ich auf KEINEN FALL irgendein Gerät von mir mit denen verbinden will, da diese mein Gerät korrumpieren könnten.
Deshlab finde ich die One Time Passwords grade so schick, da diese auf meinem Handy generiert werden und von mir abgetippt werden und diese LogIn Information genau einmal Gültigkeit hat. Aber wie matzewe01 schon richtig bemerkt hat kann der Angreifer zumindest meinen Benutzernamen herausfinden, was die Chancen für einen (erfolgreichen) Angriff schon sehr stark erhöht. Deshalb ist die Authentifikation über einen zweiten "sicheren" Kanal (z.B. SMS von einer festgelegten Nr.) eine schicke Sache.

Ich frage mich ob nicht die Kombination aus beiden Systemen eine sichere Authentifikation ohne Übertragung von Wissen über Benutzername und Kennwort ermöglicht:
Meine Idee wäre nun wie folgt:
Um mich an meinem Server einzuloggen schicke ich diesem auf einem "sicheren" Kanal (z.B. SMS) eine Anfrage und der Server öffnet den Zugang für einen zufällig gewählten Benutzernamen und sendet mir diesen auf dem sicheren Kanal wieder zurück.
Danach folgt die "ganz normale" Anmeldeprozedur via. One Time Password (also ich bekomme eine Challenge und muss mit dieser, der Sequenznr. und meinem Passwort die Passphrase berechnen...)
Nach dem beenden der Session löscht der Server den Benutzer(-namen) wieder...

Das ist natürlich ein m.M. nach großer Aufriss, aber damit kann ich mich an meinem Server (ohne Hop) anmelden ohne den Benutzernamen und Kennwort einzugeben...

Gruß N.

(Vielleicht schreib ich nach Weihnachten mal ein Script dafür )

[daemotron]

Unser Captain hat sich mit dem Thema mal auseinandergesetzt.... falls noch von Interesse: http://blog.roothell.org/archives/258-E ... ldung.html