On 13 Nov 2001, Florin Andrei wrote:
> > On Tue, 2001-11-13 at 02:51, Mihai RUSU wrote: > > > > conform celor auzite m-am oprit intai la OTP (one time passwords cu > > derivatele S/KEY si OPIE). din cate vad eu acolo sistemul ma protejeaza > > doar la un atack passive , ceea ce pot sa o fac si cu ssh + rsa/dsa . ma > > gandesc ca daca generatorul nu mai este pe masina locala (care pentru mine > > este nesigura) atunci se obtine si o securizare contra active attacks de > > tipul key logger etc... > > Pai OTP te protejeaza contra key loggerelor, pentru ca parola moare dupa > ce e folosita. Tocmai asta e ideea. > asa am crezut si eu dar uite din: http://www.ietf.org/rfc/rfc2289.txt The secret pass-phrase is seen only by the OTP generator. To allow interchangeability of generators, all generators MUST support a secret pass-phrase of 10 to 63 characters. Implementations MAY support a longer pass-phrase, but such implementations risk the loss of interchangeability with implementations supporting only the minimum. The seed MUST consist of purely alphanumeric characters and MUST be of one to 16 characters in length. The seed is a string of characters that MUST not contain any blanks and SHOULD consist of strictly alphanumeric characters from the ISO-646 Invariant Code Set. The seed MUST be case insensitive and MUST be internally converted to lower case before it is processed. ce zic ei pe acolo este ca tu ai un secret passphrase care il introduci la "generator" si acesta impreuna cu chalange-ul care il primeste de la server il compune si aplica hash-ul ireversibil de n -ori, a doua oara de n-1 ori si tot asa ce vreau sa zic eu este ca protejeaza doar la eavesdropping (atack passive) la care ma puteam proteja si cu ssh cu rsa/dsa (in sensul ca ssh cu parola chiar daca este criptat tot transmite parola "refolosibila" pe retea). dar daca atacatorul este pe masina ta iti ia passphrase-ul intr-o clipa si data viitoare el se autentifica daca "generatorul" este extern (de forma handheld ceva) atunci nu se mai pune aceasta problema, generatorul devenind un fel de cheie digitala (la purtator). > Ce intelegi prin "generator"? > cel care din passphrase + sequence number + challange iti face parola care trebuie acum > > intr-adevar daca consideram masina locala (masina pe care va rula > > programul cu care se intra pe dispozitivul care se doreste protejat de > > acces neautorizat) nesigura nu rezolvam prea multe cu OTP cu generator > > Daca masina locala e nesigura ai cam b...-o. > cam asa e precum am spus degeaba am eu generatorul extern pentru ca daca atacatorul imi intra pe masina, poate sa-mi modifice programul client (cu care ma logez la sistemul remote) si sa insereze cod care sa execute comenzi pe masina remote DUPA ce m-am logat cu super securitatea mea OTP :)) > > exista ceva (in sensul de arhitectura de securitate) widely deployed in > > industry ? :)) > > Inca nu-mi dau seama la ce nivel cauti solutia? > La nivel de masina? La nivel de retea? Solutii integrate? Nu vad incotro > bati. > > Defineste intii care este riscul "acceptabil", si-apoi solutiile vor > deveni evidente. > > Spre exemplu, OTP + autentificare centralizata (Radius) si acces doar > criptat (SSH, VPN, diverse alte chestii bazate pe SSL, IPSec, etc.) > reprezinta un nivel de "risc acceptabil" destul de inalt - este ceea ce > folosim noi aicea. > la toate nivelele ma intereseaza ceva care sa se integreze bine intr-o situatie data de asemenea ma interesa si un spor de confort pentru useri, ca altfel stau si genereaza cate o parola pentru fiecare logare pentru fiecare server/device ce trebuie accesat remote. pana acum am ajuns la o combinatie OTP + Kerberos (de fapt kerberos dar care nu foloseste o parola reutilizabile pentru kinit, generarea TGT, ci OTP) :)) PS: cum integrezi SSH cu OTP si Radius ? :) ---------------------------- Mihai RUSU "... and what if this is as good as it gets ?" --- Send e-mail to '[EMAIL PROTECTED]' with 'unsubscribe rlug' to unsubscribe from this list.
