passwörter jede stunde automatisch ändern?

[mark.j]

hallo zusammen,

habe mir gerade mal durch den kopf gehen lassen, dass wenn man sich von remote -> zuhause einwählt immer die gefahr besteht, dass ein keylogger das passwort mitliest, unabhängig wie sicher die übertragung ist (SSH/SSL/etc.).

das mag ein wenig paranoid klingen, aber wie kriegt man debian dazu ein passwort von user X sagen wir jede stunde neu zu erstellen, anhand einer vorgegebenen großen zahl modulo aktueller stunde z.b.?

die selbe berechnung würde ich dann auf meinem symbian smartphone ausführen, wenn ich mich mal einwählen will, wie sollte ich sonst reinkommen

manchmal hab ich ein mulmiges gefühl, wenn ich an den uni-rechnern meine post zuhause prüfe. man kann nie wissen, was der benutzer vor mir so für lauschprogramme laufen lässt.

[Feuerzwerg]

Du koenntest dir dafuer ein eigenes PAM-Modul schreiben bzw. eins suchen, was sowas in der Art macht.

[mark.j]

stichwort PAM, kannte ich noch nicht, klingt vielversprechend. werde mich mal dazu ein wenig einlesen.

danke erstmal

gruß

mark

[DeletedUserReAsG]

Quick&dirty: Ein Script schreiben, welches Passwörter generiert und in /etc/shadow schreibt und dieses Script jede Stunde via cron aufrufen.

Bei einem Series60-Handy könntest du dann Python drauftun und den gleichen Algo ohne Anpassungen sowohl auf deinem PC, als auch auf deinem Handy laufen lassen.

cu

[Feuerzwerg]

Hmm komisch. Ich hab gerade ne Email-Benachrichtigung fuer ne Antwort zu diesem Thread erhalten aber die Nachricht iss gar nicht da (auch nach nem reload nicht)!? Ich musste sogar erst mal den Thread suchen weil der Link in der Mail nicht funktioniert hat. Hat da jemand was geloescht??

Naja hier mal der Text:

Bei SSH wird das Kennwort eben nicht übertragen! IIRC, nutzt SSH ein Challenge-Response Verfahren. Ein Beispiel:
Der Server sendet eine zufällige Zeichenkette an den Client. Dieser hängt diese Kette an das Kennwort an und berechnet davon die SHA-1-Hash und sendet diese an den Server. Der Server macht dasselbe, und wenn er denselben Wert
herausbekommt wie er empfangen hat, gilt der Benutzer als authentifiziert.
Bei SSH wird es etwas anders ablaufen, aber fakt ist, mit einer Replay-Attacke kommt ein potentieller Angreifer nicht weit, da er beim nächsten einloggen eine andere Challenge bekommt.

Ich bin mir jetzt nicht sicher, ob SSH wirklich ein C-R-Verfahren benutzt, aber es nutzt eins, welches Replay-Attacken (fast) unmöglich macht.

SSH verwendet verschluesselung. Da duerfte es mit replay-Attacken generell schwierig werden. Aber ich glaube es ging hier weniger um die Uebertragung sondern eher um keylogger und aehnliches. Da machen one-time passwords und vergleichbares schon Sinn.

EDIT: ah. ich sehe gerade, dass man eigene Beitraege loeschen kann, wenn sie am Ende stehen. Ich vermute mal das ist hier passiert. Und ich dachte schon die DB haette Probleme

[blackm]

Oder log dich einfach per Zertifikat ein....

[Feuerzwerg]

Das waere natuerlich auch ne idee aber man will ja evtl auch nicht ein zertifikat, dass einem zugriff auf ein anderes system gibt auf einem evtl. unsicheren sytem ablegen. Auch wenn man es z.B. nur auf einem usb-stick hat ist es immer noch relativ unsicher, denn der ssh-client koennte ja manipuliert sein und das ganze cachen. Absolute Sicherheit kann es natuerlich nie geben aber mit one-time passwords waere das ganze einigermassen sicher.

[Joghurt]

EDIT: ah. ich sehe gerade, dass man eigene Beitraege loeschen kann, wenn sie am Ende stehen. Ich vermute mal das ist hier passiert. Und ich dachte schon die DB haette Probleme

Jupp, ich habe ihn sofort nach abschicken wieder gelöscht, da mir erst dann das Wort "keylogger" aufgefallen ist und mein Posting damit hinfällig wurde

[Feuerzwerg]

Jupp, ich habe ihn sofort nach abschicken wieder gelöscht, da mir erst dann das Wort "keylogger" aufgefallen ist und mein Posting damit hinfällig wurde

Jo hab ich mir schon gedacht, dass es evtl. so war. Aber das ist mir halt auch erst nach dem Absenden des Beitrags eingefallen. Um diese Uhrzeit geht das mit dem Denken halt nicht mehr ganz so schnell

[blackm]

Das waere natuerlich auch ne idee aber man will ja evtl auch nicht ein zertifikat, dass einem zugriff auf ein anderes system gibt auf einem evtl. unsicheren sytem ablegen.

Naja, da stimmt dann an dem ganzen Sicherheitskonzete etwas nicht, wenn man mit einem unsicheren System arbeitet.

Auch wenn man es z.B. nur auf einem usb-stick hat ist es immer noch relativ unsicher, denn der ssh-client koennte ja manipuliert sein und das ganze cachen.[/qupte]Wenn der ssh client manipuliert ist, dann ist es aber egal wo die Zertifikate liegen....

Absolute Sicherheit kann es natuerlich nie geben aber mit one-time passwords waere das ganze einigermassen sicher.

Ne, die wird es nicht geben, aber man kann sie in Richtig 100% verschieben. Ob allerdings Passwoerter die jede Stunde geaendert werden was helfen glaube ich nicht.

by, Martin

[Feuerzwerg]

Naja, da stimmt dann an dem ganzen Sicherheitskonzete etwas nicht, wenn man mit einem unsicheren System arbeitet.

Naja ist halt ein Uni-Rechner. Du hast natuerlich Recht, dass man so ein System nicht verwenden sollte aber manchmal kann man es nun mal nicht vermeiden.

Wenn der ssh client manipuliert ist, dann ist es aber egal wo die Zertifikate liegen....

Ist natuerlich auch wieder wahr.

Ne, die wird es nicht geben, aber man kann sie in Richtig 100% verschieben. Ob allerdings Passwoerter die jede Stunde geaendert werden was helfen glaube ich nicht.

Jede Stunde reicht da nicht. Dazu braucht man schon eher echte one-time Passwoerter und selbst dann koennte man immer noch die Verbindung kapern.

[blackm]

Jede Stunde reicht da nicht. Dazu braucht man schon eher echte one-time Passwoerter und selbst dann koennte man immer noch die Verbindung kapern.

Und da braeuchtest du ein tool das reproduzierbare Passwoerter baut. Und wenn du das auf deinem Client so bauen kannst, wie es auf dem Server hinterlegt ist, warum sollte es dann nicht auch jemand fremdes koennen...

[Feuerzwerg]

Und da braeuchtest du ein tool das reproduzierbare Passwoerter baut. Und wenn du das auf deinem Client so bauen kannst, wie es auf dem Server hinterlegt ist, warum sollte es dann nicht auch jemand fremdes koennen...

Ich glaube wir sollten langsam aufhoeren sonst reden wir noch bis morgen Abend darueber und haben immer noch keine zufriedenstellende Loesung gefunden.

[blackm]

Ja, ich glaube heute werden wir da keine Loesung mehr finden...wobei, Tag hat ja noch etwa 20 Stunden

[mark.j]

wow, da hab ich ja ne diskussion angeregt

Und da braeuchtest du ein tool das reproduzierbare Passwoerter baut. Und wenn du das auf deinem Client so bauen kannst, wie es auf dem Server hinterlegt ist, warum sollte es dann nicht auch jemand fremdes koennen... Surprised

der fremde client kennt ja den algo nicht, womit die neuen passwörter erzeugt werden, ich will hier natürlich nicht nen mega 256bit schlüssel o.ä. verwenden, etwas simpleres sollte ja auch ausreichen.

stichwort one-time-passwörter gefällt mir sogar noch besser, als stündlich wechselnde.
nur wie kriegt man da genau das selbe ergebnis auf pc sowie auf series60 fon? wird extrem schwierig, wenn man wieder mit der uhr arbeitet, denn man müsste ja die sekunden bei der berechnung mit einbeziehen, aber ohne atom-uhr wird das doch nix.

[DeletedUserReAsG]

Mach es doch, wie die Banken: Eine Liste auf deinem Handy, eine auf dem Server.

cu

[mark.j]

das wäre natürlich die einfachste lösung, aber es geht doch sicher auch schöner

außerdem wäre diese lösung nicht gerade wartungsarm, man müsste ja stets noch genug einträge in der liste haben. nach murphy steht aber genau dann kein eintrag mehr drin, wenn man sich gerade dringend einwählen muss.

[DeletedUserReAsG]

Es gibt sicher schönere Lösungen, hier mal eine für wahre Freaks:
Voraussetzungen: Dein Telefon und dein Einwahlrechner verfügen über Bluetooth (beim Rechner mag ein Dongle helfen). Wenn das gegeben ist, implementierst du ein Challenge-Response-Verfahren, basierend auf anerkannten Algorithmen. Das konzipierst du aber so, dass der für den Response-Teil zuständige Part auf deinem Telefon implementiert wird, für den Rechner schreibst du ein Programm, welches die Daten transparent zum Telefon leitet und die Antwort auf gleiche Weise an deinen Server.

(bitte nicht allzu ernst nehmen. Theoretisch ist das machbar, mit anderer Hardware als einem Telefon wird es auch praktisch gemacht, aber der Aufwand, das sauber zu implementieren (und dann noch via BT für ein Telefon), ist sehr hoch)

cu

[mark.j]

klingt wirklich kompliziert..

jetzt habe ich eine idee, ich lasse ein skript auf dem apache laufen, ganz normal http, muss ja nicht mal SSL sein. das skript wirft nur eine zeichenkette auf den schirm. diese zeichenkette tippe ich in das handy und lasse mir daraus, mit dem seben algo wie die zeichenkette auf dem server erzeugt wurde, mein aktuelles passwort generieren.

beim einloggen wird sofort ein neues generiert, so dass auch ein schneller keylogger-leser keine chance hat sich einzuloggen.

jetzt müsste man sich nur noch gedanken über die konkrete implementation machen

[DeletedUserReAsG]

achte darauf, dass du einen anerkannten Algo benutzt. Aus einem anderen Forum, das sich überwiegend mit sowas beschäftigt, weiß ich, dass bei selbstentworfenen Algos meistens schon zwei Key/Hash-Werte ausreichen, um das zu knacken, und selbst bei vielen offiziellen reichen 5 Wertepaare.

cu

[mark.j]

wie heißt denn das forum? werde mich dann dort zu dem thema einlesen.