Infelizmente isto não é usar dois métodos, mas sim usar duas vezes o mesmo método, o que não adiciona nada a segurança, pois não defende de um atacante mais bem posicionado.
Só faria alguma diferença se a sua chave estivesse guardada em um token (tipo um smart card), onde a chave passaria a ter a propriedade de unicidade (ela só existe em um lugar e não pode ser copiada pra outro). Nesse caso a chave seria "what you have". Principalmente porque você está usando duas vezes um método baseado em "what you know", que é a forma mais fraca de autenticação, não faz sentido. Empilhar métodos de posse e biometria até faz algum sentido, mas não métodos de conhecimento.
Se o atacante roubar a chave cifrada, ele ainda precisa da senha. Se ele roubar a senha da chave cifrada, o que impede ele de roubar a senha do passwd?
Pra aumentar o seu grau de segurança, você tem que fazer o que o Douglas Santos sugeriu e ir pra tokens ou definitivamente para biometria.
Inclusive eu e ele ja trabalhamos em um projeto em que usavamos smart cards e tokens em FreeBSD. É super estável e seguro.Tudo isso para aplicações críticas de segurança (AC Raiz da ICP-EDU e da ICP-Brasil).
Jean On 11 Jun 2009, at 01:17, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote:
exatamente, eu teria um ambiente onde o acesso ao shell seria forçado a dois métodos de autenticação, unicamente, seria necessário ter a chave e a senha de usuárioé bem interessante isso, mas pelo menos nos meus testes isso não foi possível...configurei o SSHD para autenticar com chave, e deixei setado PasswordAuthenticate como YES se eu tiver a chave, basta informar o nome de usuário (sem senha) que o acesso ao shell é permitido.... mas se eu não tiver a senha, a autenticação convencional é feita, pedindo nome de usuário e senha a minha idéia é forçar dois métodos de autenticação, se passar nos dois (chave + user/senha) aí sim é fornecido o acesso ao shell. abraçosPelo que pude entender, mesmo que o carinha obtenha a chave ele não conseguiria autenticar no servidor porque não tem conhecimento da senha para a segunda autenticação (a não ser que tenha a chave mais a senha). Não acompanhei essa discussão, mas parece ser isso. ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd-- ENIO RODRIGO MARCONCINI www.Enio.Pro.Br skype: eniormAdministrador de Redes e Professor Universitário Especialista em Redes de Computadores Análise de Sistemas e Banco de Dados Slackware Linux, OpenBSD e FreeBSD Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
PGP.sig
Description: This is a digitally signed message part
------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd