Vlákno názorů k článku Google Authenticator: bezpečněji s jednorázovými hesly od Zwejkal - http://www.fi.muni.cz/~kas/blog/index.cgi/computers/google-authenticator.html
-
Yenya (neregistrovaný)
No to je vyborne, zrovna jsem sem chtel napsat neco v tomhle smyslu :-)
Zkracene: nefunguje to se SELinuxem, a nefunguje to se zapnutou RSA key autentizaci v sshd.Co je horsi, ze treba na rozdil od ctecek otisku prstu si to uklada autentizacni udaje do $HOME, takze pokud utocnik ma moznost nejakym zpusobem napadnout muj domovsky adresar, ziskava moznost nastavit si klic pro to jednorazove heslo, a rozsirit tento prunik i na bezne autentizovane pristupy.
Diskutoval jsem to v bugzille Fedory, kde byl s vyse uvedenou namitkou souhlas, ale zaroven maintainer baliku psal, ze upstream prilis nekomunikuje, takze nadeje na zmenu bez vlastniho pricineni jsou docela male.
Zaverem: G-A je v soucasne podobe nepouzitelny.
-Y.
-
Ondřej CaletkaZlatý podporovatel- nefunguje to se zapnutou RSA key autentizaci v sshd…
Jak by to mělo fungovat s RSA key autentizací? Při přihlášení SSH klíčem sshd celý PAM obchází, to je naprosto obecná vlastnost OpenSSH. Když SSH klíč nemám, přes keyboard-interactive se bez problému přihlásím i se dvěma hesly.
Navíc RSA login je dvoufaktorový už sám o sobě, pokud uživatel používá šifrovaný SSH klíč, a díky asymetrické povaze také mnohem bezpečnější než HOTP/TOTP.
Polohu řídicích souborů je možné změnit, na druhou stranu, pokud má mít uživatel možnost vygenerovat si kdykoli nový tajný klíč, je jedno kde řídicí soubor leží.
-
Yenya (neregistrovaný)
> Polohu řídicích souborů je možné změnit, na druhou stranu, pokud má mít uživatel
> možnost vygenerovat si kdykoli nový tajný klíč, je jedno kde řídicí soubor leží.Zkuste se zamyslet, proč máte heslo v /etc/shadow (root:shadow 0400) a ne v home.
Pro OTP data platí podobné důvody.-Yenya
