Unternehmen
Lokale Authentifikation über USB-Stick
Das PAM-Modul pam_usbauth erlaubt Benutzern, sich lokal am Rechner über einen USB-Stick statt mit einem Passwort zu authentifizieren.
Alles, was die Benutzer zur Authentifizierung benötigen, ist ein USB-Stick mit dem passendem Schlüssel zum angegebenen Benutzernamen, der bei der Anmeldung angeschlossen ist. Dieses Verfahren ist nicht auf Mounten, spezielle Dateisysteme und USB-Treiber angewiesen.
Sicherheitsrichtlinien sind selten bequem, weder für die Anwender noch für die Systemverwalter. Solche Richtlinien besagen unter anderem, dass man sich nicht als Root einloggen sollte, und dass man keine einfachen Passwörter wählen sollte.
Für passwortloses Login sind Krypto-Smartcards nach Meinung des Autors von pam_usbauth, Erik Sonnleitner, eine hervorragende Idee, sie leiden jedoch unter zwei Nachteilen. Erstens können solche Karten nicht einfach gekauft und konfiguriert werden, sondern müssen von einem Hersteller bezogen werden, dem man damit ein gewisses Maß an Vertrauen entgegenbringen muss. Zweitens benötigt man einen Smartcard-Leser. Nicht jeder Rechner hat jedoch einen solchen eingebaut.
Das Modul pam_usbauth will einen Mittelweg einschlagen und soll eine Authentifizierung ohne Passwort möglich machen, ohne spezielle Hardware und Treiber vorauszusetzen. Lediglich eine kleine Partition auf einem USB-Stick (oder einem anderen Medium) ist nötig. An jedem Dienst, der PAM unterstützt, kann man sich damit ohne Passwort anmelden.
Das Paket enthält auch uapasswd, ein Client-Programm, das das Schreiben der Konfigurationsdatei und das Einrichten eines vorhandenen USB-Gerätes vereinfachen soll. Alle Konfigurations-Optionen (erlaubte Benutzernamen, Geräte usw.) werden in /etc/usbauth.conf definiert. Es ist empfehlenswert, eine Partition von etwa 1 MB für die Schlüssel einzurichten - der Rest des Gerätes steht weiterhin zur Nutzung zur Verfügung.
pam_usbauth ist derzeit nur aus dem SVN-Archiv mittels »svn co svn://delta-xi.net/svn/pam_usbauth« verfügbar. Den Anwendern sollte klar sein, dass diese USB-Authentifikation nicht so sicher wie die Verwendung von Smartcards ist, da USB-Massenspeicher keine Hardware-Unterstützung für Sicherheitsanforderungen haben. In sehr sicherheitskritischen Umgebungen sollte die Methode daher nicht eingesetzt werden.
