Rainer Ellinger <[EMAIL PROTECTED]> wrote:
> Andreas Metzler schrieb:
>> Und? Unter der Praemisse, dass das Rootpasswort halbwegs gut gewaehlt
>> ist, z.B. UdP,ddR1hgi haben Brute-Force-Attacken mit Woerterbuch
>> oder allen moeglichen Passworten momentan keine realistische Chance
> Das obige Passwort ist bei Bruteforce nicht besser wie "RootKonsole".
> Nur W�rterb�cher w�rden geblockt.
Hallo!
Du hast recht, mir war das auch klar, ich habe falsch formuliert,
danke fuer die Korrektur.
> Das wichtigste beim Passwort ist die L�nge, um die m�gliche Verteilung
> innerhalb des riesigen Schl�sselraums wirklich auch auszunutzen. Ein
> "Hallo - hier spricht der Cheffe" w�re aus dieser Sicht lustigerweise
> wesentlicher sicherer, auch wenn es uns intuitiv nicht so vor kommt.
Fuer meinen gpg-Schluessel verwende ich etwas in der Art.
> Die zus�tzliche Verwendung von Sonderzeichen oder schwer zu merkenden
> Kombinationen ist gar nicht so sinnvoll. Dies erh�ht die Tendenz beim
> Benutzer, dass das Passwort kurz bleibt und bringt nur verh�ltnism�ssig
> kleine Erh�hungen der M�glichkeiten. Ganz abgesehen von eventuellen
> Problemen mit Tastaturlayouts.
Komma und 1-9 sind ok, das liegt auch auf US-Tastatur am selben Ort,
vor yz- und den Sonderzeichen sollte man sich h�ten. Vielerorten kann
man so lange Passworte gar nicht einsetzen, ausserdem sind sie
unbequem, da liefert 'Nimm einfach die Anfangsbuchstaben eines Satzes'
brauchbare Passworte, die man sich _leicht_ merken kann.
> Ein paar Zeichen mehr L�nge sind wichtiger. Kryptographische
> Anwendungen sprechen von daher auch meistens direkt von einem
> Passphrase. L�ngen von 20-30 Zeichen sind das Minimum bei heute
> �blichen 128-Bit Schl�sseln.
Das ist aber doch eine komplett andere Baustelle, als ssh-login mit
Passwort?
Dabei wird doch davon ausgegangen, dass die einzige Beschraenkung beim
durchprobieren die Schnelligkeit der verwendeten Maschine ist. Wenn
man dagegen dagegen zum Probieren eine Verbindung zum ssh-Server
ausmachen muss, dauert das ewig, eine Milchmaedchenrechnung
bescheinigt, dass das Ausprobieren von [A-Zaz0-9]{,8} sechs Jahre
dauert, wenn man die irreale Zahl von einer Mio ausprobierter
Passworte/Sekunde annimmt.
Hat man obige Situation, wenn man ~/.ssh/id_rsa an $Angreifer
verliert, d.h. kann er gemuetlich bei sich zu Hause durchprobieren,
braucht er dazu auch den zugehoerigen ~/.ssh/id_rsa.pub?
Kann mir jemand erklaeren, was es mit 'PAM keyboard-interactive
authentication' (PAMAuthenticationViaKbdInt in sshd.conf) auf sich
hat, ob ich das unter Linux nutzen kann, wie ich es einrichte, und vor
allem, ob es Sinn macht.
tia, cu andreas
--
FAQ dieser Liste http://dugfaq.sylence.net/
Unofficial _Debian-packages_ of latest _tin_
http://www.logic.univie.ac.at/~ametzler/debian/tin-snapshot/
--
Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED]
mit dem Subject "unsubscribe". Probleme? Mail an [EMAIL PROTECTED] (engl)
