On Tue, 2001-11-13 at 02:51, Mihai RUSU wrote: > > conform celor auzite m-am oprit intai la OTP (one time passwords cu > derivatele S/KEY si OPIE). din cate vad eu acolo sistemul ma protejeaza > doar la un atack passive , ceea ce pot sa o fac si cu ssh + rsa/dsa . ma > gandesc ca daca generatorul nu mai este pe masina locala (care pentru mine > este nesigura) atunci se obtine si o securizare contra active attacks de > tipul key logger etc...
Pai OTP te protejeaza contra key loggerelor, pentru ca parola moare dupa ce e folosita. Tocmai asta e ideea. Ce intelegi prin "generator"? > intr-adevar daca consideram masina locala (masina pe care va rula > programul cu care se intra pe dispozitivul care se doreste protejat de > acces neautorizat) nesigura nu rezolvam prea multe cu OTP cu generator Daca masina locala e nesigura ai cam b...-o. > exista ceva (in sensul de arhitectura de securitate) widely deployed in > industry ? :)) Inca nu-mi dau seama la ce nivel cauti solutia? La nivel de masina? La nivel de retea? Solutii integrate? Nu vad incotro bati. Defineste intii care este riscul "acceptabil", si-apoi solutiile vor deveni evidente. Spre exemplu, OTP + autentificare centralizata (Radius) si acces doar criptat (SSH, VPN, diverse alte chestii bazate pe SSL, IPSec, etc.) reprezinta un nivel de "risc acceptabil" destul de inalt - este ceea ce folosim noi aicea. -- Florin Andrei "Bill Gates helped Open Source succeed, in much the same way Osama bin Laden has helped beef up airport security lately." - Eric S. Raymond --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
