-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Hallo,
vor einiger Zeit hatte ich mal ueber den Google Authenticator gesprochen,
um 2-Faktor-Authentifikation unter Linux geredet - also ein Mittel,
welches zusaetzlich zu einem statischen Passwort noch ein anderes, zweites
Medium heranzieht, welches - im besten Fall - eine pysikalische und nicht
kopierbare Präsenz erfordert. Der Google Authenticator implementiert OATH
[1] HOTP oder TOPT mit einigen Modifikationen und ist sowohl zur Sicherung
von Google Accounts, als auch zur Sicherung von PAM-faehigen Strukturen
(Linux z.B.) geeignet. Dazu wird eine App auf einem Telefon verwendet, die
ein gemeinsames Secret beinhaltet, den auch die Gegenstelle kennt.
Das nur zur Einfuehrung und Erinnerung an bereits gesagtes. Ich würde
nicht an die Liste schreiben um nur das zu sagen - ich habe natuerlich
auch eine Frage, besser 2:
1.) Hat jemand Erfahrungen mit OATH HOTP/TOTP kompatiblen Hardwaretoken
(zum Beispiel [2]) und Linux? Ich wuerde sowas zum Beispiel gerne
einrichten, um SSH-Logins von nicht unmittelber vertrauenswuerdigen
Geraeten, die dann natuerlich auch meinen RSA-Key nicht haben (duerfen)
etwas deutlicher zu sichern oder auch - im bei SSH zu bleiben -
SSH-VPN-Tunnel, die auch ein nicht zu vernachlässigendes strukturelles
Risiko bieten, von mehr als nur einem Passwort abhaengig zu machen.
Mich wuerde interessieren, welches der vielen OATH-Pam Module oder welche
anderen Mechanismen verwendet wurden und welche Token zum Einsatz kamen.
Was die Token angeht habe ich, bei der unten genannten Seite, 2 Varianten
TOTP Tokens bestellt, um mir das mal anzuschauen. Prinzipiell kann man
auch mit Software-Tokens super testen, aber mehr Spass machts mit
Hardware, nicht wahr?
2.) Hat jemand Interesse daran, dass ich die Erfahrungen, die ich im Laufe
der Tests mache und die Ergebnisse mal bei der TroLUG praesentiere? Wer im
Berufsalltag mit der Sicherung von Linux-Systemen zu tun hat, koennte von
so einer Loesung eventuell profitieren - vielleicht auch bei der geringen
Kostenhürde schon Privatanwender mit Linuxen an Public-IPs.
Ich fand es fuer sich genommen schon interessant, dass es wirklich bei OTP
Tokens schon laenger nicht mehr nur um Produkte der Firma RSA und andere
grosskommerzielle Infrastrukturen geht, die man direkt fuer viele Steine
und Goldbarren kaufen muss. Ich hoffe, das manifestiert sich dann auch so
im Versuch.
Gerade heute, wo wir unsere halbe Identitaet ja teilweise auf
irgendwelchen prinzipiell erreichbaren Systemen lagern und uns viel mehr
Gedanken um Netzsicherheit machen muessen als wir es in den meisten
Faellen tun, bin ich sehr dafuer, der Berufsparanoia auch mal nachzugeben
und sich ein wenig verfolgt zu fuehlen. Das Passworte allein manchmal
nicht reichen, hat der ein oder andere bestimmt im Bekanntenkreis oder am
eigenen Leib schon erfahren muessen.
TL;DR: Hardware OTP (OATH HOTP/TOTP) unter Linux, anyone?
Bei Interesse einfach melden,
Joel
[1]: http://www.openauthentication.org/specifications
[2]: TOTP: http://www.gooze.eu/otp-c200-token-time-based-h3-casing-1-unit
HOTP: http://www.gooze.eu/otp-c100-token-event-based-1-unit
- --
Joel Garske
PGP: 0xA921EB20 - No SMIME
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.12 (GNU/Linux)
iEYEARECAAYFAlErTW8ACgkQcTUy7qkh6yCG7QCcD6fFlnyJ2kPmSo59JONCgJuS
DK8AoKjBaYt3D63EKpV6MvnsT6VDsp+m
=uZjq
-----END PGP SIGNATURE-----_______________________________________________
Trolug_trolug.de mailing list
[email protected]
https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
