cum verificati daca passphrase-ul corespunde standardurilor de securitate > in vigoare ? >
Care ar fi acele standarde in vigoare? E ceva mentionat in ISO 27001 sau e vorba de ceva politici interne? Chiar daca cineva verifica doar ca aude 20 de clicuri de taste, de unde stie ca nu e ceva de genul 12121212....121212? Ma gandeam ca ar fi posibil urmatorul workflow (propunere pur teoretica, nu am implementat asa ceva): - utilizatorului i se geneneraza pe statie perechea de chei iar cea privata se protejaza cu un passphrase random sau introdus de altcineva decat utilizatorul (ex. security officer sau alt trusted party) - "cumva" (TM) passphrase-ul se inroleaza in keyring-ul utilizatorului, care poate fi accesat doar dupa logarea reusita cu parola acestuia - parola utilizatorului poate fi fortata sa respecte toate regulile de bun simt (folosind de ex. apg http://linux.die.net/man/1/apg) si se poate verifica in cadrul unui audit ca s-a schimbat la X zile, ca are un anumit pattern, se poate incerca un brute force attack samd. In felul asta s-ar asigura urmatoarele: - utilizatorul final isi cunoaste doar parola de login pe statie, o data introdusa corect passphrase-ul e decriptat din keyring si pasat "cumva" (TM) catre ssh-add/ssh-agent care incarca cheia privata si va permite folosirea pe perioada sesiunii - passphrase-urile sunt introduse de un "trusted party" sau generate random, deci respecta orice policy se doreste - utilizatorul NU va sti niciodata passphrase-ul ca sa poata sa il schimbe mai tarziu cu unul f. simplu sau sa il stearga - chiar daca isi va putea copia cheia proprie din ~/.ssh nu va putea fugi cu ea sa o foloseasca in alta parte pentru ca nu are passphrase-ul - securitatea asupra cheii private se transfera asupra omului de incredere care a generat passphrase-ul (daca e o agentie/companie care are nevoie de audit in zona asta, sigur are si un ofiter de securitate de incredere); eventual daca se poate genera printr-o procedura cu passphrase random, cu atat mai bine, ideea e doar sa ajunga in keyring si criptata cu parola de login fara sa o vada utilizatorul final sau altcineva. - securitatea keyring-ului este enforced de apg sau alte proceduri care nu lasa utilizatorul sa isi puna parole triviale pentru login. Daca exista bube majore in "cumva"-urile mentionate mai sus (nu stiu de ex. daca ssh-add/ssh-agent pot prelua direct passphrase-ul din keyring dupa login), remember it's friday. Alte variante de protectie: tokenuri (ex. Yubikey) sau alte metode 2FA, OTP etc. _______________________________________________ RLUG mailing list [email protected] http://lists.lug.ro/mailman/listinfo/rlug
