abclinuxu.cz AbcLinuxu.cz itbiz.cz ITBiz.cz HDmag.cz HDmag.cz abcprace.cz AbcPráce.cz
AbcLinuxu hledá autory!
Inzerujte na AbcPráce.cz od 950 Kč
Rozšířené hledání
×
    dnes 01:11 | Bezpečnostní upozornění

    Red Hat řeší bezpečnostní incident, při kterém došlo k neoprávněnému přístupu do GitLab instance používané svým konzultačním týmem.

    Ladislav Hagara | Komentářů: 0
    včera 23:33 | Nová verze

    Immich byl vydán v první stabilní verzi 2.0.0 (YouTube). Jedná se o alternativu k výchozím aplikacím od Googlu a Applu pro správu fotografií a videí umožňující vlastní hosting serveru Immich. K vyzkoušení je demo. Immich je součástí balíčků open source aplikací FUTO. Zdrojové kódy jsou k dispozici na GitHubu pod licencí AGPL-3.0.

    Ladislav Hagara | Komentářů: 1
    včera 22:33 | IT novinky

    Český telekomunikační úřad vydal zprávy o vývoji cen a trhu elektronických komunikací se zaměřením na rok 2024. Jaká jsou hlavní zjištění? V roce 2024 bylo v ČR v rámci služeb přístupu k internetu v pevném místě přeneseno v průměru téměř 366 GB dat na jednu aktivní přípojku měsíčně – celkově jich tak uživateli bylo přeneseno přes 18 EB (Exabyte). Nejvyužívanějším způsobem přístupu k internetu v pevném místě zůstal v roce 2024 bezdrátový

    … více »
    Ladislav Hagara | Komentářů: 0
    včera 12:11 | Nová verze

    Raspberry Pi OS, oficiální operační systém pro Raspberry Pi, byl vydán v nové verzi 2025-10-01. Přehled novinek v příspěvku na blogu Raspberry Pi a poznámkách k vydání. Jedná o první verzi postavenou na Debianu 13 Trixie.

    Ladislav Hagara | Komentářů: 0
    včera 05:22 | Nová verze

    Byla vydána nová verze 4.6 svobodného notačního programu MuseScore Studio (Wikipedie). Představení novinek v oznámení v diskusním fóru a také na YouTube.

    Ladislav Hagara | Komentářů: 0
    včera 02:22 | Komunita

    Společnost DuckDuckGo stojící za stejnojmenným vyhledávačem věnovala 1,1 milionu dolarů (stejně jako loni) na podporu digitálních práv, online soukromí a lepšího internetového ekosystému. Rozdělila je mezi 29 organizací a projektů. Za 15 let rozdala 8 050 000 dolarů.

    Ladislav Hagara | Komentářů: 4
    1.10. 20:11 | Nová verze

    Svobodný multiplatformní herní engine Bevy napsaný v Rustu byl vydán ve verzi 0.17. Díky 278 přispěvatelům.

    Ladislav Hagara | Komentářů: 0
    1.10. 16:11 | Nová verze

    Bylo vydáno openSUSE Leap 16 (cs). Ve výchozím nastavení přichází s vypnutou 32bitovou (ia32) podporou. Uživatelům však poskytuje možnost ji ručně povolit a užívat si tak hraní her ve Steamu, který stále závisí na 32bitových knihovnách. Změnily se požadavky na hardware. Leap 16 nyní vyžaduje jako minimální úroveň architektury procesoru x86-64-v2, což obecně znamená procesory zakoupené v roce 2008 nebo později. Uživatelé se starším hardwarem mohou migrovat na Slowroll nebo Tumbleweed.

    Ladislav Hagara | Komentářů: 3
    1.10. 16:00 | IT novinky

    Ministerstvo průmyslu a obchodu (MPO) ve spolupráci s Národní rozvojovou investiční (NRI) připravuje nový investiční nástroj zaměřený na podporu špičkových technologií – DeepTech fond. Jeho cílem je posílit inovační ekosystém české ekonomiky, rozvíjet projekty s vysokou přidanou hodnotou, podpořit vznik nových technologických lídrů a postupně zařadit Českou republiku mezi země s nejvyspělejší technologickou základnou.

    … více »
    Ladislav Hagara | Komentářů: 3
    1.10. 12:55 | Nová verze

    Radicle byl vydán ve verzi 1.5.0 s kódovým jménem Hibiscus. Jedná se o distribuovanou alternativu k softwarům pro spolupráci jako např. GitLab.

    Ladislav Hagara | Komentářů: 3
    Jaké řešení používáte k vývoji / práci?
     (40%)
     (47%)
     (14%)
     (16%)
     (17%)
     (14%)
     (17%)
     (14%)
     (14%)
    Celkem 161 hlasů
     Komentářů: 11, poslední dnes 07:30
    Rozcestník

    používáme jednorázová hesla

    4.10.2009 15:01 | Přečteno: 2036× | Výběrový blog | poslední úprava: 4.10.2009 15:03

    Poměrně často se mi stává, že se chci naSSHovat do svého stroje z nějakého nepříliš důvěryhodného počítače - například školní Windows můžou být klidně plné keyloggerů a podobné havěti. Přihlašování normálním heslem mi proto nepřišlo jako úplně dobrý nápad a nosit s sebou na USB flašce kopii soukromého klíče je už úplně na hlavu padlé. Hledal jsem tedy řešení, které by
    1) bylo odolné proti keyloggerům;
    2) nevyžadovalo, abych s sebou nosil lehce zneužitelné údaje;
    3) bylo jednoduše implementovatelné a pokud možno nevyžadovalo psaní vlastních skriptů.

    Nakonec jsem vybral jednorázová hesla přes OTPW. Jak to tedy funguje? Po instalaci a konfiguraci (viz níže) na počítači, na který se chceme přihlašovat spustíme generátor hesel. Ten po nás bude chtít prefix, který si zapamatujeme (něco bezpečného, třeba foo), a vrátí nám očíslovaný seznam jednorázových hesel. Zároveň vytvoří soubor $HOME/.otpw, do kterého uloží hashe prefixu spojeného s příslušným jednorázovým heslem. Seznam hesel vytiskneme a nosíme s sebou. Když se chceme vzdáleně přihlásit, tak nám náš systém řekne něco jako

    Password 204:
    Podíváme se tedy na naši kartičku s hesly a pod číslem 204 uvidíme něco jako
    204: bar1 baz2
    Heslo, které je potřeba zadat, se skládá z prefixu, za který napíšeme (bez mezer) jednorázové heslo. V tomto případě je celé heslo foobar1baz2. Po použití se heslo automaticky smaže ze seznamu, takže je útočníkovi k ničemu. Díky existenci prefixu není ztráta nebo krádež papíru s hesly sama o sobě žádnou tragédií - na přístup do systému to nestačí a my prostě vygenerujeme nový seznam.

    Nyní pár slov k instalaci a konfiguraci. Předpokládám, že jsme na Linuxu, kde běží openssh a autentizujeme se pomocí PAMu. Nejprve nainstalujeme generátor hesel a modul do PAMu (na Debianu balíky otpw-bin a libpam-otpw). Dále je musíme říct SSH démonovi, aby používal PAM, přidáme tedy do /etc/ssh/sshd_config řádek

    UsePAM yes
    Následuje konfigurace PAMu - do /etc/pam.d/sshd dáme řádek
    auth sufficient pam_otpw.so
    těsně před autentizaci heslem (v standardním Debianovském konfiguráku reprezentována řádkem
    @include common-auth
    Nyní zbývá už jen restartovat sshd a vygenerovat hesla příkazem otpw-gen.

    VAROVÁNÍ: tahle metoda má samozřejmě spoustu slabých míst. Pokud má někdo plnou kontrolu nad počítačem, ze kterého se přihlašujete, tak vám samozřejmě může po přihlášení ukrást spojení, případně podstrčit modifikovaného SSH klienta, který na vzdáleném počítači udělá něco nekalého, nebo vám může místní BOfH odposlechnout prefix a pak ukrást papír s hesly, atd. Proto byste tohle neměli používat na něco sofistikovanějšího, než prostou obranu před keyloggery.

           

    Hodnocení: 100 %

            špatnédobré        

    Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

    Komentáře

    Vložit další komentář

    cynic_asshole avatar 4.10.2009 16:17 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Na FreeBSD existuje opie, má podobnou funkcionalitu, akorát do hesla není potřeba zadávat ten 'bezpečný prefix'. Přihlašovací dialog vypadá potom nějak takhle:
    login as: honza
    Using keyboard-interactive authentication.
    otp-md5 488 po0575 ext
    Password:
    

    a podle těch čísel a znalosti tajné passphrase si můžeš v kalkulátoru vygenerovat aktuální heslo nebo celý seznam hesel a pak vytisknout.

    Hesla jsou ve formátu CAR MIND WARN ACRE REID FIVE.

    Používám k plné spokojenosti.
    Neznáš nějakou linuxovou distribuci pro Windows?
    cynic_asshole avatar 4.10.2009 16:33 cynic_asshole | skóre: 28
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Jak koukám, tak se dá OPIE doinstalovat i do Debian a dalších systémů.
    Neznáš nějakou linuxovou distribuci pro Windows?
    4.10.2009 17:10 CEST
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Pouzivam stejny system,na mobilu mam generator,passphrase je ulozena,takze staci zadavat pouze cislo.Beha mi to na Debianu a Gentoo.
    elenril avatar 4.10.2009 19:09 elenril | skóre: 21 | blog: Raziel
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    O OPIE jsem taky uvažoval, ale nakonec mi OTPW přišlo pohodlnější/bezpečjnější/lepší. Mimo jiné vi tento thread.
    otasomil avatar 4.10.2009 17:35 otasomil | skóre: 39 | blog: puppylinux
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla

    Kez by takhle obezretni byly i uzivatele internetoveho bankovnictvi potazmo dalsich internetovych sluzeb.

    K čemu hudba, která nevede k extázi... Stop MDMA !!! I spam umí být roztomilý
    4.10.2009 20:13 zdenek-hbr | skóre: 10 | blog: .
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    sikovny. dik
    Nicky726 avatar 4.10.2009 20:29 Nicky726 | skóre: 56 | blog: Nicky726
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Nepoužívá se k přihlášení přes SSH veřejný klíč?
    Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
    4.10.2009 20:44 Georgo10 | skóre: 14 | blog: Deset hříchů | Olomouc
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Veřejný klíč je na druhé straně, kam se chci připojit. Odkud se chci připojit je soukromý klíč, "do kterého" je nutné napsat heslo.
    -- Georgo
    Nicky726 avatar 4.10.2009 21:27 Nicky726 | skóre: 56 | blog: Nicky726
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    No jo vlastně... nějak v tom mám už binec...
    Enjoy the detours. There you’ll find the things more important than what you want. (Hunter x Hunter)
    Josef Kufner avatar 4.10.2009 23:11 Josef Kufner | skóre: 70
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Hmm... neumí to posílat ty jednorázová hesla coby SMS? Nebo alespoň e-mail (...@sms.eurotel.cz)?
    Hello world ! Segmentation fault (core dumped)
    4.10.2009 23:49 Murry | skóre: 16 | Brno
    Rozbalit Rozbalit vše Re: používáme jednorázová hesla
    Toto by bylo výborné, dokonce v kombinaci s tím co bylo řečeno (jak v blogu, tak diskuzi) - velmi bezpečné.

    Založit nové vláknoNahoru

    ISSN 1214-1267   www.czech-server.cz
    © 1999-2015 Nitemedia s. r. o. Všechna práva vyhrazena.