Re: ssh rsa_key
Hallo Matthias,
Am Mittwoch, 6. November 2002 um 16:01:00 schriebst du:
> oder was für möglichkeiten hab ich da noch?
Keine. Wenn jemand seinen Private Key plus Passwort weiter gibt, bist
du Nase.
Ist wie mit deiner EC-Karte: gibt du Karte samt Geheimnummer wem
anders, kann er selbige benutzen, es sei denn du läßt die Karte
sperren (= löscht den Public Key).
Mal ganz doof gefragt: nach welchem Kriterium soll SSHD denn wissen,
ob der jemand der sich als z.B. albert verbinden will, auch 'Albert'
ist? Ich meine ... er weiss den Usernamen auf dem Server (er will sich
ja als 'albert' anmelden, und nicht als 'paula'), er hat den Private
Key UND er kennt das Passwort (sonst würde der Private Key ja auf
seiner Seite nicht 'frei' schalten). Was soll denn seine Authentizität
nicht beweisen, wenn eine feste IP nicht in Betracht kommt?
Kamera-Zwang am eigenen Rechner und eine biometrische Bilderkennung am
Server die ein aus der Ferne übermitteltes Bild überprüft? Wenn ja:
wer sagt dir, dass das Bild echt ist? :-)
Es bleibt also nur: wem User einbläuen sein Private Key nicht aus der
Hand zu geben (was eh eine schwachsinnige Idee ist), ebensowenig das
Passwort am Monitor kleben zu haben, und für den Fall, das z.B. zwei
parallele Logins von verschiedenen IPs für den selben User per
SSH--Key entdeckt werden mit Sanktionen wie (temporärer?)
Zugangssperrrung drohen :-)
--
Mit freundlichen Grüßen
Peter Palmreuther
(The Bat! v1.62/Beta7 on Windows 2000 5.0 Build 2195 Service Pack 1)
Life would be so much easier if we could just look at the source code.
Reply to: