OoO En cette nuit stri�e d'�clairs du mardi 23 d�cembre 2003, vers 02:56, [EMAIL PROTECTED] (Fran�ois TOURDE) disait:
> Clair. Dans cette situation, le principe d'obligation de clefs SSH > est � mon avis un bon niveau de s�curit�. A condition �videmment que > la machine � partir de laquelle tu fais �a soit prot�g�e. > Tu peux aussi pousser le vice (la parano) jusqu'� stocker la clef > SSH sur une clef USB. Cela ne prot�ge pas de la compromission de la machine depuis laquelle tu te connectes. Il faudrait avoir un p�riph�rique USB qui r�ponde lui m�me au challenge (� l'aide d'une clef qu'il garde en interne). Cela existe. Une solution pour se logguer depuis les machines non s�res est les One Time Password : le mot de passe utilis� ne peut �tre utilis� qu'une fois. Toutefois, cela reste simplement une protection contre les keyloggers ou assimil�s. En effet, rien n'emp�che un client ssh modifi� de te pr�senter un prompt et de forker pour installer un rootkit en parall�le. Cela reste toutefois sans doute plus s�r que le mot de passe traditionnel. Enfin, PAM permet de combiner plusieurs moyens comme par exemple mot de passe classique et mot de passe � usage unique (utile si on se fait voler la liste de mots de passe). On peut imaginer d�velopper des modules qui envoie le challenge par SMS sur un portable, ce serait sans doute assez original. :) -- BOFH excuse #82: Yeah, yo mama dresses you funny and you need a mouse to delete files.
pgpzcLESbnqXN.pgp
Description: PGP signature
