Seite 2 von 2 ErsteErste 12
Ergebnis 26 bis 32 von 32

Thema: SSH key login: Vor- und Nachteile?

  1. #26
    1998 - Rover

    Veteran

    Avatar von theSplit
    Registriert seit
    Aug 2014
    Ort
    ngb.to
    Beiträge
    4.359
    ngb:news Artikel
    1

    Re: SSH key login: Vor- und Nachteile?

    @drfuture: Also läuft das nur über den "Client" Server, auf dem Google-Authenthicator installiert ist, und der App?

    Der Server, der eine durch Google Authenticator geschützte Anmeldung anbietet, generiert im Rahmen der erstmaligen Initialisierung einen nur 80-Bit-Geheimcode den der Benutzer auf ein persönliches Gerät – in der Regel ein Smartphone – übertragen muss. Hierzu wird das Geheimnis als QR-Code oder als Zeichenkette in Form einer Base32-Darstellung übermittelt.
    Aber das danach?

    Der Übertragungsvorgang ist, neben dem Umstand, dass der bei der Initialisierung generierte 80-Bit-Geheimcode in Klartext am Gerät gespeichert wird eine Schwäche. Ebenso wird bei Google Authenticator entgegen der Vorgabe im RFC 4226 der Geheimcode in der Länge auf 80 Bit reduziert - nach RFC 4226 soll die Länge des Geheimcodes mindestens 128 Bit aufweisen, eine Länge von 160 Bit ist empfohlen. Da es sich bei dem Geheimnis um das Shared Secret des Verfahrens handelt, darf der Code auch nur von einem vertrauenswürdigen Rechner aus abgelesen werden. Auch eine Fotografie des QR-Codes würde das Geheimnis kompromittieren.
    Quelle

    Bei einem Keybund ist ja nur das Geheimnis im Netz unterwegs? - Den Rest macht der Secret Key um es zu dechiffrieren und der hinterlegte Public Key der "das Geheimnis" generiert bzw. der überprüft wird?

    Bin da nicht so tief in der Materie

    Edit: ssh ist ja verschlüsselt um man-in-the-middle-attacks zu migrieren.

    Wobei, https - aber dennoch?
    Geändert von theSplit (Gestern um 18:06 Uhr)
    Gruß theSplit

  2. #27
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.051
    ngb:news Artikel
    16

    Re: SSH key login: Vor- und Nachteile?

    Der Server also das Ziel auf dem ich mich anmelde und die Software am Handy haben den initial Code und berechnen von da an jede Minute einen neuen 6 stelligen Code.

    Zum anmelden benötige ich ein Passwort das man auswendig weiß und den 6 stelligen pin der sich alle 60s ändert.
    Da beide Geräte von sich aus die Zahl berechnen bedarf es keiner Übertragung.

    Ja der initiale Vorgang ist die Schwäche und man sollte das nicht in einem Online Cafe machen...
    Aber der Code wird zumindest in meinem Fall auf der Konsole erzeugt und angezeigt und somit per ssh übertragen. Um ihn hier anzugreifen muss auf meinem Gerät ein schadcode sein der Screenshots macht in diesem Moment.
    Und dann scanne ich ihn mit der opensource Software am Handy ab. Backups davon am Handy sind verschlüsselt (alles automatisch ohne extra Konfiguration, einrichten des ganzen geht in 10 min)

    Und selbst wenn der initial Code abhanden kommt wird noch das Passwort benötigt...
    Also muss sich ein keylogger am initial pc gelaufen sein....
    Aber in dem Fall, wenn jemand so viel Kontrolle hat, bringt ein Zertifikat ebenso 0.

    Ich denke wenn man viele Server administriert und öfter auf zig Servern sich ein und aus loggt dann ist ein Zertifikat wesentlich praktischer. Wenn man das nur ab und zu benötigt finde ich es so charmanter. Außer jemand kennt einen Punkt der hier wirklich unsicherer ist.
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  3. #28
    1998 - Rover

    Veteran

    Avatar von theSplit
    Registriert seit
    Aug 2014
    Ort
    ngb.to
    Beiträge
    4.359
    ngb:news Artikel
    1

    Re: SSH key login: Vor- und Nachteile?

    @drfuture: Wobei wir gelernt haben, das Passwörter eine Schwäche sind

    Weil sie zu erraten sind, um Menschlich bedienbar zu bleiben. Aber wenn ich richtig verstehe, wird aus dem Password etwas generiert was "stärker" ist, aber halt in Klartext (laut Wikipedia) übermittelt wird?
    Gruß theSplit

  4. #29
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.051
    ngb:news Artikel
    16

    Re: SSH key login: Vor- und Nachteile?

    Im Klartext wird die formel übertragen, wobei hier Klartext eben für den Standart gilt und die Anzeige durchaus durch ssl gesichert sein kann wie oben beschrieben.

    Der Server denkt sich als symbolisches Beispiel folgendes aus:
    Man nehme die aktuelle Uhrzeit in Stunde und Minute, rechne dann abwechseln die erste Zahl mal 3, teilte die nächsten /3 dann mal 3 usw.. Am Ende nimmt man die letzten 6 zahlen. Damit sollte jede Minute eine komplett andere 6 stellige Zahl erzeugt werden.

    Das Geheimnis ist nun diese Formel und diese wird einmalig per qr Code übertragen.

    Ab da berechnet der Server anhand der Formel jede Minute diese Zahl und die Anwendung am Handy.

    Zum Zugang benötigst du aber dann beides... Passwort und den 6 stelligen Code. Und dann bist du natürlich nur User nach dem Login.

    Du hast also jede Minute ein neues Passwort das sich aus
    2 unbhängigen Quellen zusammen setzt und wenn ein Teil geklaut wird hilft es nichts
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

  5. #30
    1998 - Rover

    Veteran

    Avatar von theSplit
    Registriert seit
    Aug 2014
    Ort
    ngb.to
    Beiträge
    4.359
    ngb:news Artikel
    1

    Re: SSH key login: Vor- und Nachteile?

    Okay, verstehe ich, glaube ich... ob es sicherer ist, gute Frage, wenn es über SSH geht, das wäre vermutlich genau so sicher sich an einem Publik Key mit einem Secret Key anzumelden...

    Vermutlich wird auch dass Prviat Secret -> Publc nich so einfach gemacht.
    Gruß theSplit

  6. #31
    Mitglied Avatar von phre4k
    Registriert seit
    Mar 2015
    Beiträge
    5.069
    ngb:news Artikel
    4

    Re: SSH key login: Vor- und Nachteile?

    Google Authenticator ist out, man nutzt heute andOTP. Da kann man dann auch Backups machen.

    EDIT: Der Witz am OTP und warum das sicherer ist als ein Passwort: Wenn ein MITM dazwischen sitzt und das Passwort mitschneidet, kann er sich anmelden. Wenn er das OTP mitschneidet, kann er sich nur in der Zeit anmelden, in der das OTP gültig und noch nicht eingegeben ist – also vermutlich gar nicht. Das "Passwort" (das OTP Secret) verlässt das 2FA-Gerät (=dein Handy) nicht.

    Selbes Prinzip wie die TANs beim Online-Banking.
    *mit Linux wäre das natürlich nicht passiert™
    Arguing that you don't care about the right to privacy because you have nothing to hide is no different than saying you don't care about free speech because you have nothing to say. – Edward Snowden
    kostenloses Webhosting für ngb-Mitglieder | Inoffizielle ngb-Telegram-Gruppe
    GCM/S/TW d s+:- a-----? C++$ UL+++$ P-- L+++ E---- W++++ !N ?K w- M-- !P[A-Z] Y++ PGP R* tv-- b++>++++ DI++\:\( G+ e+>++++ h*

  7. #32
    Zeitreisender

    Administrator

    Avatar von drfuture
    Registriert seit
    Jul 2013
    Ort
    in der Zukunft
    Beiträge
    5.051
    ngb:news Artikel
    16

    Re: SSH key login: Vor- und Nachteile?

    Ich nutze andotp Google-auth war ja das Verfahren
    |_|D *`~{ Ich kenne deine Zukunft }~´* |_|D

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •