Mailinglist Archive: opensuse-de (3513 mails)
| < Previous | Next > |
Re: ssh und public-key authentication
- From: Axel Heinrici <axel.foley-beverly-hills@xxxxxx>
- Date: Mon, 20 Dec 2004 10:19:59 +0100
- Message-id: <200412201019.59829.axel.foley-beverly-hills@xxxxxx>
Hi
On Sunday 12 December 2004 15:39, Michael Schachtebeck wrote:
Ein Passwort ist per brute force mit etwas Geduld eventuell noch zu
knacken. Es ist hingegen praktisch aussichtslos einen private key zu
erraten.
Der Sicherheitsvorteil besteht also nur dann, wenn jemand nichts klauen
konnte (weder private key noch Passwort). Die Frage was sicherer ist
hängt somit davon ab, von was für Voraussetzungen man ausgeht. Wenn man
davon ausgeht, dass ein Angreifer deinen Rechner knacken kann ist das
Schlüsselverfahren tatsächlich unsicherer. Für einen Angreifer, der nur
den Host und deinen dortigen Usernamen kennt, ist eine
Schlüssel-Authentifizierung jedoch viel schwieriger zu knacken als eine
reine Passwortabfrage.
Gnu ssh ist tatsächlich etwas unflexibel was die Speicherung privater
Schlüssel angeht. Es ist allerdings auch dabei mit etwas Bastelei
möglich für jeden Host einen eigenen Schlüsselsatz zu definieren, damit
ein Angreifer sich nicht nach erfolgreichem Hack auf jedem von dir
benutzten Host einloggen kann. Auch ein Hinterlegen der/des
Schlüssel(s) auf Diskette/ Memorystick ist grundsätzlich machbar.
mfg
Axel
On Sunday 12 December 2004 15:39, Michael Schachtebeck wrote:
reiner paßwortgeschützter ssh-Zugang, falls es einem Angreifer
gelingt, in den Besitz des private key zu gelangen. In dem Fall hat
er nämlich deutlich bessere Chancen, daß Paßwort per brute force zu
knacken (weil er ein Programm auf den lokal vorliegenden Key
loslassen kann; versucht man brute force per ssh, entsteht bei
vernünftig konfigurierten Systemen nach jedem Fehlversuch eine Pause
von 3 oder mehr Sekunden, bevor das Paßwort erneut abgefragt wird -
ohne diese Drosselung sind beim Knacken der Passphrase des private
key natürlich einige hundert Versuche pro Sekunde denkbar. Oder
übersehe ich da was?
Ein Passwort ist per brute force mit etwas Geduld eventuell noch zu
knacken. Es ist hingegen praktisch aussichtslos einen private key zu
erraten.
Der Sicherheitsvorteil besteht also nur dann, wenn jemand nichts klauen
konnte (weder private key noch Passwort). Die Frage was sicherer ist
hängt somit davon ab, von was für Voraussetzungen man ausgeht. Wenn man
davon ausgeht, dass ein Angreifer deinen Rechner knacken kann ist das
Schlüsselverfahren tatsächlich unsicherer. Für einen Angreifer, der nur
den Host und deinen dortigen Usernamen kennt, ist eine
Schlüssel-Authentifizierung jedoch viel schwieriger zu knacken als eine
reine Passwortabfrage.
Gnu ssh ist tatsächlich etwas unflexibel was die Speicherung privater
Schlüssel angeht. Es ist allerdings auch dabei mit etwas Bastelei
möglich für jeden Host einen eigenen Schlüsselsatz zu definieren, damit
ein Angreifer sich nicht nach erfolgreichem Hack auf jedem von dir
benutzten Host einloggen kann. Auch ein Hinterlegen der/des
Schlüssel(s) auf Diskette/ Memorystick ist grundsätzlich machbar.
mfg
Axel
| < Previous | Next > |