[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: Black-/Whitlist für den ssh deamon



Rainer Ellinger <rainer@ellinger.de> wrote:
> Andreas Metzler schrieb:
>> Und? Unter der Praemisse, dass das Rootpasswort halbwegs gut gewaehlt
>> ist, z.B. UdP,ddR1hgi haben Brute-Force-Attacken mit Woerterbuch
>> oder allen moeglichen Passworten momentan keine realistische Chance

> Das obige Passwort ist bei Bruteforce nicht besser wie "RootKonsole". 
> Nur Wörterbücher würden geblockt.

Hallo!
Du hast recht, mir war das auch klar, ich habe falsch formuliert,
danke fuer die Korrektur.

> Das wichtigste beim Passwort ist die Länge, um die mögliche Verteilung 
> innerhalb des riesigen Schlüsselraums wirklich auch auszunutzen. Ein 
> "Hallo - hier spricht der Cheffe" wäre aus dieser Sicht lustigerweise 
> wesentlicher sicherer, auch wenn es uns intuitiv nicht so vor kommt. 

Fuer meinen gpg-Schluessel verwende ich etwas in der Art.

> Die zusätzliche Verwendung von Sonderzeichen oder schwer zu merkenden 
> Kombinationen ist gar nicht so sinnvoll. Dies erhöht die Tendenz beim 
> Benutzer, dass das Passwort kurz bleibt und bringt nur verhältnismässig 
> kleine Erhöhungen der Möglichkeiten. Ganz abgesehen von eventuellen 
> Problemen mit Tastaturlayouts.

Komma und 1-9 sind ok, das liegt auch auf US-Tastatur am selben Ort,
vor yz- und den Sonderzeichen sollte man sich hüten. Vielerorten kann
man so lange Passworte gar nicht einsetzen, ausserdem sind sie
unbequem, da liefert 'Nimm einfach die Anfangsbuchstaben eines Satzes'
brauchbare Passworte, die man sich _leicht_ merken kann.

> Ein paar Zeichen mehr Länge sind wichtiger.  Kryptographische 
> Anwendungen sprechen von daher auch meistens direkt von einem 
> Passphrase. Längen von 20-30 Zeichen sind das Minimum bei heute 
> üblichen 128-Bit Schlüsseln.

Das ist aber doch eine komplett andere Baustelle, als ssh-login mit
Passwort?

Dabei wird doch davon ausgegangen, dass die einzige Beschraenkung beim
durchprobieren die Schnelligkeit der verwendeten Maschine ist. Wenn
man dagegen dagegen zum Probieren eine Verbindung zum ssh-Server
ausmachen muss, dauert das ewig, eine Milchmaedchenrechnung
bescheinigt, dass das Ausprobieren von [A-Zaz0-9]{,8} sechs Jahre
dauert, wenn man die irreale Zahl von einer Mio ausprobierter
Passworte/Sekunde annimmt.

Hat man obige Situation, wenn man ~/.ssh/id_rsa an $Angreifer
verliert, d.h. kann er gemuetlich bei sich zu Hause durchprobieren,
braucht er dazu auch den zugehoerigen ~/.ssh/id_rsa.pub?

Kann mir jemand erklaeren, was es mit 'PAM keyboard-interactive
authentication' (PAMAuthenticationViaKbdInt in sshd.conf) auf sich
hat, ob ich das unter Linux nutzen kann, wie ich es einrichte, und vor
allem, ob es Sinn macht.
             tia, cu andreas
-- 
FAQ dieser Liste http://dugfaq.sylence.net/
Unofficial _Debian-packages_ of latest _tin_
http://www.logic.univie.ac.at/~ametzler/debian/tin-snapshot/



Reply to: