Zu dem Thema siehe auch: http://www.heise.de/security/artikel/Einmalpasswoerter-fuer-den-Heimgebrauch-270884.html
Am 25. Februar 2013 12:39 schrieb Joel Garske <[email protected]>: > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > > Hallo, > > vor einiger Zeit hatte ich mal ueber den Google Authenticator gesprochen, > um 2-Faktor-Authentifikation unter Linux geredet - also ein Mittel, > welches zusaetzlich zu einem statischen Passwort noch ein anderes, zweites > Medium heranzieht, welches - im besten Fall - eine pysikalische und nicht > kopierbare Präsenz erfordert. Der Google Authenticator implementiert OATH > [1] HOTP oder TOPT mit einigen Modifikationen und ist sowohl zur Sicherung > von Google Accounts, als auch zur Sicherung von PAM-faehigen Strukturen > (Linux z.B.) geeignet. Dazu wird eine App auf einem Telefon verwendet, die > ein gemeinsames Secret beinhaltet, den auch die Gegenstelle kennt. > > Das nur zur Einfuehrung und Erinnerung an bereits gesagtes. Ich würde > nicht an die Liste schreiben um nur das zu sagen - ich habe natuerlich > auch eine Frage, besser 2: > > 1.) Hat jemand Erfahrungen mit OATH HOTP/TOTP kompatiblen Hardwaretoken > (zum Beispiel [2]) und Linux? Ich wuerde sowas zum Beispiel gerne > einrichten, um SSH-Logins von nicht unmittelber vertrauenswuerdigen > Geraeten, die dann natuerlich auch meinen RSA-Key nicht haben (duerfen) > etwas deutlicher zu sichern oder auch - im bei SSH zu bleiben - > SSH-VPN-Tunnel, die auch ein nicht zu vernachlässigendes strukturelles > Risiko bieten, von mehr als nur einem Passwort abhaengig zu machen. > Mich wuerde interessieren, welches der vielen OATH-Pam Module oder welche > anderen Mechanismen verwendet wurden und welche Token zum Einsatz kamen. > > Was die Token angeht habe ich, bei der unten genannten Seite, 2 Varianten > TOTP Tokens bestellt, um mir das mal anzuschauen. Prinzipiell kann man > auch mit Software-Tokens super testen, aber mehr Spass machts mit > Hardware, nicht wahr? > > 2.) Hat jemand Interesse daran, dass ich die Erfahrungen, die ich im Laufe > der Tests mache und die Ergebnisse mal bei der TroLUG praesentiere? Wer im > Berufsalltag mit der Sicherung von Linux-Systemen zu tun hat, koennte von > so einer Loesung eventuell profitieren - vielleicht auch bei der geringen > Kostenhürde schon Privatanwender mit Linuxen an Public-IPs. > Ich fand es fuer sich genommen schon interessant, dass es wirklich bei OTP > Tokens schon laenger nicht mehr nur um Produkte der Firma RSA und andere > grosskommerzielle Infrastrukturen geht, die man direkt fuer viele Steine > und Goldbarren kaufen muss. Ich hoffe, das manifestiert sich dann auch so > im Versuch. > > Gerade heute, wo wir unsere halbe Identitaet ja teilweise auf > irgendwelchen prinzipiell erreichbaren Systemen lagern und uns viel mehr > Gedanken um Netzsicherheit machen muessen als wir es in den meisten > Faellen tun, bin ich sehr dafuer, der Berufsparanoia auch mal nachzugeben > und sich ein wenig verfolgt zu fuehlen. Das Passworte allein manchmal > nicht reichen, hat der ein oder andere bestimmt im Bekanntenkreis oder am > eigenen Leib schon erfahren muessen. > > TL;DR: Hardware OTP (OATH HOTP/TOTP) unter Linux, anyone? > > Bei Interesse einfach melden, > > Joel > > [1]: http://www.openauthentication.org/specifications > [2]: TOTP: http://www.gooze.eu/otp-c200-token-time-based-h3-casing-1-unit > HOTP: http://www.gooze.eu/otp-c100-token-event-based-1-unit > - -- > Joel Garske > PGP: 0xA921EB20 - No SMIME > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.4.12 (GNU/Linux) > > iEYEARECAAYFAlErTW8ACgkQcTUy7qkh6yCG7QCcD6fFlnyJ2kPmSo59JONCgJuS > DK8AoKjBaYt3D63EKpV6MvnsT6VDsp+m > =uZjq > -----END PGP SIGNATURE----- > _______________________________________________ > Trolug_trolug.de mailing list > [email protected] > https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de > > -- Uwe Ziegenhagen <http://www.uweziegenhagen.de>
_______________________________________________ Trolug_trolug.de mailing list [email protected] https://ml01.ispgateway.de/mailman/listinfo/trolug_trolug.de
