používáme jednorázová hesla

4.10.2009 15:01 | Přečteno: 2096× | | poslední úprava: 4.10.2009 15:03

Poměrně často se mi stává, že se chci naSSHovat do svého stroje z nějakého nepříliš důvěryhodného počítače - například školní Windows můžou být klidně plné keyloggerů a podobné havěti. Přihlašování normálním heslem mi proto nepřišlo jako úplně dobrý nápad a nosit s sebou na USB flašce kopii soukromého klíče je už úplně na hlavu padlé. Hledal jsem tedy řešení, které by
1) bylo odolné proti keyloggerům;
2) nevyžadovalo, abych s sebou nosil lehce zneužitelné údaje;
3) bylo jednoduše implementovatelné a pokud možno nevyžadovalo psaní vlastních skriptů.

Nakonec jsem vybral jednorázová hesla přes OTPW. Jak to tedy funguje? Po instalaci a konfiguraci (viz níže) na počítači, na který se chceme přihlašovat spustíme generátor hesel. Ten po nás bude chtít prefix, který si zapamatujeme (něco bezpečného, třeba foo), a vrátí nám očíslovaný seznam jednorázových hesel. Zároveň vytvoří soubor $HOME/.otpw, do kterého uloží hashe prefixu spojeného s příslušným jednorázovým heslem. Seznam hesel vytiskneme a nosíme s sebou. Když se chceme vzdáleně přihlásit, tak nám náš systém řekne něco jako

Password 204:

Podíváme se tedy na naši kartičku s hesly a pod číslem 204 uvidíme něco jako

204: bar1 baz2

Heslo, které je potřeba zadat, se skládá z prefixu, za který napíšeme (bez mezer) jednorázové heslo. V tomto případě je celé heslo foobar1baz2. Po použití se heslo automaticky smaže ze seznamu, takže je útočníkovi k ničemu. Díky existenci prefixu není ztráta nebo krádež papíru s hesly sama o sobě žádnou tragédií - na přístup do systému to nestačí a my prostě vygenerujeme nový seznam.

Nyní pár slov k instalaci a konfiguraci. Předpokládám, že jsme na Linuxu, kde běží openssh a autentizujeme se pomocí PAMu. Nejprve nainstalujeme generátor hesel a modul do PAMu (na Debianu balíky otpw-bin a libpam-otpw). Dále je musíme říct SSH démonovi, aby používal PAM, přidáme tedy do /etc/ssh/sshd_config řádek

UsePAM yes

Následuje konfigurace PAMu - do /etc/pam.d/sshd dáme řádek

auth sufficient pam_otpw.so

těsně před autentizaci heslem (v standardním Debianovském konfiguráku reprezentována řádkem

@include common-auth

Nyní zbývá už jen restartovat sshd a vygenerovat hesla příkazem otpw-gen.

VAROVÁNÍ: tahle metoda má samozřejmě spoustu slabých míst. Pokud má někdo plnou kontrolu nad počítačem, ze kterého se přihlašujete, tak vám samozřejmě může po přihlášení ukrást spojení, případně podstrčit modifikovaného SSH klienta, který na vzdáleném počítači udělá něco nekalého, nebo vám může místní BOfH odposlechnout prefix a pak ukrást papír s hesly, atd. Proto byste tohle neměli používat na něco sofistikovanějšího, než prostou obranu před keyloggery.

       

Tiskni Sdílej:

Komentáře

Vložit další komentář

Založit nové vlákno • Nahoru