[opensuse-es] seguridad con tickets
Saludos listeros Me piden asegurar el accesos por web tanto de una aplicacion php-mysql como el acceso webdav por medio de un sistema que me genere claves aleatria y este sincronizado con mi servidor. El jefe vio en varias empresas que visito en USA a los usuarios con un aparato ( parecido a un cronometro ) donde aparecian las contraseñas cada cierto tiempo . y solo asi podian entran a las intranet o sites . alguna idea , del programa, aparatos etc Eso lo podre hacer con kerberos Muchas gracias por su ayuda atte Juan Manuel R -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-03-05 a las 23:10 -0000, Juan Manuel R. escribió:
El jefe vio en varias empresas que visito en USA a los usuarios con un aparato ( parecido a un cronometro ) donde aparecian las contraseñas cada cierto tiempo . y solo asi podian entran a las intranet o sites .
Lo conozco, lo he usado. Con windows NT. Es un llavero con una pantallita que muestra cuatro cifras, que cambian cada minuto, con un algoritmo pseudoaleatorio. Cada usuario tiene un llavero distinto. En un servidor central tienen un programa o una caja negra, no lo se, capaz de generar la clave correspondiente a cada usuario y de cada minuto. El usuario ha de entrar una clave compuesta de unos cuatro números memorizados y los cuatro numeros del llaverito. Si lo tienes, puedes entrar en windows y a la red de la empresa. Si no lo tienes, sólo tienes acceso a tu ordenador en local (no estoy seguro de si consigues la IP antes o después). Creo que cuando se gasta la pila del llaverito te tienen que enviar otro, sincronizado con el servidor. La clave cambia cada minuto, pero un reloj independiete, a pilas, tiene una deriva que puede ser de hasta 4 segundos por dia y el llaverito no tiene ningún tipo de ajuste por el usuario. Así que si se estropea o se gasta, hay que llamar y que envíen uno nuevo para ese usuario desde la central. No recuerdo el nombre del sistema.
alguna idea , del programa, aparatos etc
No conozco nada equivalente en linux, pero si lo hay, debe ser comercial. Y no creo que sea barato. - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmwZFgACgkQtTMYHG2NR9WJogCgipdGXuDRkE5jk4Myh3sLLhpF ovUAoIqOvJBp/Dpvjo1CcAqw+1JC5frN =kVZQ -----END PGP SIGNATURE-----
El 2009-03-05 a las 23:10 +0000, Juan Manuel R. escribió:
Me piden asegurar el accesos por web tanto de una aplicacion php-mysql como el acceso webdav por medio de un sistema que me genere claves aleatria y este sincronizado con mi servidor. El jefe vio en varias empresas que visito en USA a los usuarios con un aparato ( parecido a un cronometro ) donde aparecian las contraseñas cada cierto tiempo . y solo asi podian entran a las intranet o sites .
alguna idea , del programa, aparatos etc
Aladdin (www.aladdin.com) tiene este tipo de productos. Hum... lo llaman "OTP*" (one time password), creo. Si buscas en Google por "Aladdin otp linux" (o por "kerberos otp linux) aparecen algunos tutoriales y formas de implementación: <http://www.google.com/search?hl=en&q=aladdin+otp+linux&btnG=Google+Searc h&aq=f&oq=> http://www.google.com/search?hl=en&q=kerberos+otp+linux&btnG=Search * http://en.wikipedia.org/wiki/One-time_password Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
Hola. El Viernes, 6 de Marzo de 2009, Juan Manuel R. escribió:
Saludos listeros
Me piden asegurar el accesos por web tanto de una aplicacion php-mysql como el acceso webdav por medio de un sistema que me genere claves aleatria y este sincronizado con mi servidor. El jefe vio en varias empresas que visito en USA a los usuarios con un aparato ( parecido a un cronometro ) donde aparecian las contraseñas cada cierto tiempo . y solo asi podian entran a las intranet o sites .
alguna idea , del programa, aparatos etc
Estos son los tokens de RSA (es la empresa). No llegará con que les emitas un certificado y apliques una politica de rotacion de claves algo exigente? tan pronto como tu quieras, con revocar el certificado deniegas el acceso, y te ahorras una pasta tanto en el hardware como en el servicio -- Un Saludo. Carlos Lorenzo Matés. clmates AT mundo-r.com
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-03-06 a las 19:34 +0100, Carlos Lorenzo Matés escribió:
alguna idea , del programa, aparatos etc
Estos son los tokens de RSA (es la empresa).
http://en.wikipedia.org/wiki/RSA_Security http://en.wikipedia.org/wiki/Hardware_token http://en.wikipedia.org/wiki/RSA_SecurID En el segundo enlace hay fotos de varios chismes de esos. Me parece que los que mi empresa usaba eran los de RSA, pero me suena que los colores eran más discretos, y con menos cifras. Pero era el 2000... :-?
No llegará con que les emitas un certificado y apliques una politica de rotacion de claves algo exigente?
tan pronto como tu quieras, con revocar el certificado deniegas el acceso, y te ahorras una pasta tanto en el hardware como en el servicio
El chismito se considera muy seguro, y además, "farda" que no veas >:-) - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmxcAgACgkQtTMYHG2NR9VrsgCfQuVWP9Cm3A4X9onMB/UFCE2Y 6cUAn2sEe/A0ritrBpEZ11U67lV9gbIL =lOnE -----END PGP SIGNATURE-----
On Friday 06 March 2009 13:48:39 Carlos E. R. wrote:
El 2009-03-06 a las 19:34 +0100, Carlos Lorenzo Matés escribió:
alguna idea , del programa, aparatos etc
Estos son los tokens de RSA (es la empresa).
http://en.wikipedia.org/wiki/RSA_Security http://en.wikipedia.org/wiki/Hardware_token http://en.wikipedia.org/wiki/RSA_SecurID
En el segundo enlace hay fotos de varios chismes de esos. Me parece que los que mi empresa usaba eran los de RSA, pero me suena que los colores eran más discretos, y con menos cifras. Pero era el 2000... :-?
No llegará con que les emitas un certificado y apliques una politica de rotacion de claves algo exigente?
tan pronto como tu quieras, con revocar el certificado deniegas el acceso, y te ahorras una pasta tanto en el hardware como en el servicio
El chismito se considera muy seguro, y además, "farda" que no veas >:-)
"Farda" o.O? Se puede saber por que utilizaban ese medio. Seria interesante si se resumen sus ventajas frente al password de todos los días y una buena educación a los usuarios (con garrote y a pan y agua) -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
El 2009-03-06 a las 14:06 -0500, Shinji Ikari escribió:
"Farda" o.O?
*** fardar intr. col. Presumir, alardear: le encanta fardar de coche delante de sus amigos. col. Lucir, ser vistoso algo: ¡cómo farda su moto! *** Es un término coloquial :-)
Se puede saber por que utilizaban ese medio. Seria interesante si se resumen sus ventajas frente al password de todos los días y una buena educación a los usuarios (con garrote y a pan y agua)
Hombre, pues ya me dirás. Poder generar una contraseña cada 30 segundos sin volver loco al usuario es una ventaja. Si le añades cifrado, pues ya son dos. Y si además de necesitar la llave se necesita una contraseña personal que se la envían cada mes por correo certificado a su casa, pues mejor :-) ¿No has visto "Sneakers"? Hum, no, tú serás más de "Swordfish" :-P Sólo para poder acceder a las instalaciones de la empresa necesitaban no-sé-cuántas-cosas (tarjeta + pin + huella dactilar + escáner del ojo + contraseña...)+ (n)? (la relación es inventada, pero sí recuerdo que en Sneakers necesitaban hacer varias cosas? O:-) Además, lamentablemente a los usuarios no los puedes educar. Son "enemigos (mal)pagados" y son peligrosos por definición >X-) Saludos, -- Camaleón -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
On Friday 06 March 2009 15:52:06 Camaleón wrote:
El 2009-03-06 a las 14:06 -0500, Shinji Ikari escribió:
"Farda" o.O?
*** fardar intr. col. Presumir, alardear: le encanta fardar de coche delante de sus amigos.
col. Lucir, ser vistoso algo: ¡cómo farda su moto! ***
Es un término coloquial :-)
Es un termino alienígeno, mi no entender. =P~
Se puede saber por que utilizaban ese medio. Seria interesante si se resumen sus ventajas frente al password de todos los días y una buena educación a los usuarios (con garrote y a pan y agua)
Hombre, pues ya me dirás. Poder generar una contraseña cada 30 segundos sin volver loco al usuario es una ventaja. Si le añades cifrado, pues ya son dos. Y si además de necesitar la llave se necesita una contraseña personal que se la envían cada mes por correo certificado a su casa, pues mejor :-)
¿No has visto "Sneakers"? Hum, no, tú serás más de "Swordfish" :-P
¿Swordfish? la banda sonora es por Massive Attack, muuuuu buena, pero la película no la he visto. =( Pero si leí algo en imdb: http://www.imdb.com/title/tt0244244/ <mode juaquer> La que si he visto es la película juaquers con la Jolie esa. Mola un montón, ¡juas!
Sólo para poder acceder a las instalaciones de la empresa necesitaban no-sé-cuántas-cosas (tarjeta + pin + huella dactilar + escáner del ojo + contraseña...)+ (n)? (la relación es inventada, pero sí recuerdo que en Sneakers necesitaban hacer varias cosas? O:-)
O.O? ¿CIA? Usted trabaja en Langley y apareció en la película Mission Impossible y se hizo cargo del terminal Cray, ese que estaba aislado de todos y tenía la lista de todos los espias. =P
Además, lamentablemente a los usuarios no los puedes educar. Son "enemigos (mal)pagados" y son peligrosos por definición >X-)
Hmm, pero si eso es cierto, no importa que medio de protección utilicen, ninguno va a funcionar cero fallos. En Reino Unido ya han perdido información: - Bases de datos - Celular de un funcionario estatal, por cierta noche de romance en Asia, jar! - etc (no recuerdo si hay más) *ains. Nuestro futuro como especie está limitado. =/ ¿En verdad necesitan tanto?
Saludos,
-- Camaleón
-- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
-----BEGIN PGP SIGNED MESSAGE----- Hash: SHA1 El 2009-03-06 a las 14:06 -0500, Shinji Ikari escribió:
El chismito se considera muy seguro, y además, "farda" que no veas >:-)
"Farda" o.O?
Presumir, coloquialmente acá.
Se puede saber por que utilizaban ese medio. Seria interesante si se resumen sus ventajas frente al password de todos los días y una buena educación a los usuarios (con garrote y a pan y agua)
Bueno, no es robable. No fácilmente: aunque pillen la contraseña que escribe el usuario, no les vale de nada porque un minuto después ha cambiado y no sabes a cual. Y si le robas al usuario el chisme, tampoco te sirve de nada porque (se supone) no sabes su contraseña memorizada, y hacen falta las dos. Y se supone que el que ha perdido el chisme llama rápidamente a help-desk 24 horas (ejem!) que le anulan la entrada inmediatamente hasta que le envíen otro chisme. Claro, que el usuario es idiota por definición, y puede apuntar su pin en una pegatina del chismito. Se supone que el pin es corto (cuatro cifras) y por tanto, fácil de recordar, y no cambia salvo que el usuario quiera cambiarlo. Al usuario no lo mareas obligándole a cambiar de contraseña todos los trimestres, pero en contra le obligas a levar siempre encima el llaverito. Donde yo trabajaba eran muy, pero que muy paranoicos con la seguridad. Prohibieron la wifi... Si ellos consideraron seguro este sistema, te aseguro que lo evaluaron a conciencia. Mira, antes de eso te enviaban la contraseña de equipos en un sobre tamaño A4, que incluía un folleto sobre el uso correcto de contraseñas, un papel que tenías que firmar, y otro sobre cerrado (tamaño normal) con la contraseña. ¡Anda que no eran exageraos! :-P - -- Saludos Carlos E.R. -----BEGIN PGP SIGNATURE----- Version: GnuPG v2.0.9 (GNU/Linux) iEYEARECAAYFAkmxlgEACgkQtTMYHG2NR9U48gCfQA9MVOxrgV8FsrReEEZmNfl6 RkcAn11l8Mm7MajkAKMp3ln0B5J1RlaJ =5z4q -----END PGP SIGNATURE-----
On Friday 06 March 2009 16:30:37 Carlos E. R. wrote:
El 2009-03-06 a las 14:06 -0500, Shinji Ikari escribió:
El chismito se considera muy seguro, y además, "farda" que no veas >:-)
"Farda" o.O?
Presumir, coloquialmente acá.
Se puede saber por que utilizaban ese medio. Seria interesante si se resumen sus ventajas frente al password de todos los días y una buena educación a los usuarios (con garrote y a pan y agua)
Bueno, no es robable. No fácilmente: aunque pillen la contraseña que escribe el usuario, no les vale de nada porque un minuto después ha cambiado y no sabes a cual. Y si le robas al usuario el chisme, tampoco te sirve de nada porque (se supone) no sabes su contraseña memorizada, y hacen falta las dos. Y se supone que el que ha perdido el chisme llama rápidamente a help-desk 24 horas (ejem!) que le anulan la entrada inmediatamente hasta que le envíen otro chisme.
Claro, que el usuario es idiota por definición, y puede apuntar su pin en una pegatina del chismito. Se supone que el pin es corto (cuatro cifras) y por tanto, fácil de recordar, y no cambia salvo que el usuario quiera cambiarlo.
Al usuario no lo mareas obligándole a cambiar de contraseña todos los trimestres, pero en contra le obligas a levar siempre encima el llaverito.
Donde yo trabajaba eran muy, pero que muy paranoicos con la seguridad. Prohibieron la wifi... Si ellos consideraron seguro este sistema, te aseguro que lo evaluaron a conciencia.
Mira, antes de eso te enviaban la contraseña de equipos en un sobre tamaño A4, que incluía un folleto sobre el uso correcto de contraseñas, un papel que tenías que firmar, y otro sobre cerrado (tamaño normal) con la contraseña.
¡Anda que no eran exageraos! :-P
Hmmm, el problema sigue siendo humano, miren esta tira: http://www.xkcd.com/538/ Y hay varias formas de pelar un gato, no duden. =/ La paranoia no es una respuesta adecuada. ;) -- Carlos A. -- Para dar de baja la suscripción, mande un mensaje a: opensuse-es+unsubscribe@opensuse.org Para obtener el resto de direcciones-comando, mande un mensaje a: opensuse-es+help@opensuse.org
participants (6)
-
Camaleón
-
Carlos E. R.
-
Carlos E. R.
-
Carlos Lorenzo Matés
-
Juan Manuel R.
-
Shinji Ikari