Login
Newsletter
Werbung
Mi, 16. März 2005, 00:00
Programmvorstellungen

VIEW GENE RARE FOIL - Einmalpasswörter mit OPIE

Systemintegration

Obwohl die Integration von OPIE in jedem Programm, welches PAM zur Authentifizierung verwendet, möglich ist, sei hier nur ein Beispiel zur Integration für ssh gegeben. Für andere Applikationen verhält sich der Vorgang jedoch analog und ist, je nachdem wie die Distribution die PAM-Konfiguration organisiert, einfach global verwendbar.

SSH hält seine PAM-Konfiguration üblicherweise in der Datei /etc/pam.d/ssh. Im Falle von Debian GNU/Linux kann das Folgende auch auf die Datei /etc/pam.d/common-auth angewendet werden, um OPIE für eine Vielzahl von Anwendungen auf einmal zu aktivieren. Eine SSH-PAM-Konfiguration sähe beispielsweise so aus:

auth sufficient pam_unix.so
auth sufficient pam_opie.so
auth required pam_deny.so
account required pam_unix.so
session required pam_unix.so

Hierbei sind die ersten drei Zeilen relevant, die im Falle von Debian GNU/Linux auch in der besagten Datei stehen könnten. Sie ermöglichen dem Anwender zunächst die Anmeldung mit seinem regulären Passwort. Bricht er diese jedoch ab, weil er sich bei der Eingabe seines Passworts an dem fremden Computer unwohl fühlt, wird ihm der alternative Login angeboten, wie das Beispiel zeigt:

rvb@negoyl:~$ ssh progn.org
rvb@progn.org's Password: [Strg+D]
otp-md5 498 ne2213 ext, Response: SOAK CUFF KEEL HEAT QUOD BONY
rvb@progn:~$

Die Passwortabfrage fordert diesmal zur Eingabe des Passwortes 498 mit dem Seed ne2213 auf, worauf die Antwort dem, der dazu noch das Passwort kennt, dank der obigen Liste und opiekey allgemein leicht fällt. Ist die Anmeldung gelungen, so ist das Passwort nicht ein zweites Mal brauchbar.

Soll OPIE die einzig mögliche interaktive Anmeldemöglichkeit sein, so reicht an Stelle der ersten drei Zeilen auch auth required pam_opie.so. So könnte man SSH konfigurieren, um nur die Anmeldung über öffentliche Schlüssel und Einmalpassworte zu ermöglichen und so die Anmeldung über normale Benutzerpassworte komplett vermeiden, womit ein Angreifer in Kenntnis des Systempasswortes wenig Erfolg ohne den Privatschlüssel oder das Passwort zur Generierung der OTPs haben wird.

Passwortgeneratoren

Vorherige 1 2
In diesem Artikel:
  • 1. OPIE
  • 2. Systemintegration
Kommentare (Insgesamt: 0 )
Pro-Linux
Pro-Linux @Facebook
Neue Nachrichten

141
Mach­t's gut!

51
Neue Raspber­ry Pi-Va­ri­an­te mit 8 GB RAM

0
Genode 20.05 frei­ge­ge­ben

9
Sub­ver­si­on 1.14.0-LTS vor­ge­stellt

0
»Hum­ble Ci­ties: Sky­lines Bund­le« vor­ge­stellt

0
End of Life für Co­reOS Con­tai­ner Linux ver­kün­det

32
Elek­tra 0.9.2 er­schie­nen

8
Nex­tDNS ver­lässt die Be­ta-Pha­se

23
Tu­xe­do stellt Ga­mer-Note­book vor

0
Libre Gra­phics Mee­ting be­ginnt als On­li­ne-Va­ri­an­te
 
Werbung