Re: Sicherheit vorm bösen Internet
Hallo Felix M. Palmen, hallo auch an alle anderen
Dienstag, 4. April 2006 10:19 - Felix M. Palmen wrote:
> Hallo Matthias,
>
> * Matthias Houdek <linux@houdek.de> [20060404 09:11]:
> [SSH]
>
> > Beim Passwort-Dialog wird ein Passwort übertragen, bevor die
> > eigentlich gesicherte Verbindung steht.
>
> Das ist so nicht richtig oder zumindest irreführend formuliert: Das
> Passwort wird bei SSH selbstverständlich "sicher" (verschlüsselt)
> übertragen.
Ja. (Siehe meine andere Mail)
> > Zusätzlich sind Passwörter gemein hin
> > nicht so komplex wie ein RSA oder DSA-Schlüssel (man will sie ja
> > auch halbwegs bequem tippen können ;-).
>
> Das hingegen ist richtig, trifft aber nicht den Kern der Sache. Beim
> Public-Key Verfahren wird der private Schlüssel nämlich NIE
> übertragen, so dass selbst wenn es jemand schaffen sollte, die
> Verbindung mitzuhören, er immer noch nichts davon hat.
ACK.
Mir ging es hier auch um das "Erraten" - was bei RSA/DSA-Schlüsseln wohl
praktisch unmöglich sein sollte. Bei Passwörtern klappt ja meist
schon "Sozial Hacking" aus ("Hast du nicht einen neuen Hund - oh, süß -
und wie heißt der?" *g*)
> Das einzig realistische Angriffsszenario gegen SSH mit Passwörtern
> ist allerdings stupides Brute-Force. Mit gut gewählten Passwörtern,
> Verbot von Passwort-Authentifikation für privilegierte Accounts sowie
> eventuell einer geeigneten Paketfilterkonfiguration, die die Anzahl
> der neuen Verbindungen pro Zeit zum SSHD beschränkt hat man mehr als
> genug möglichkeiten, sich wirksam vor Brute-Force zu schützen. Die
> erstgenannte ist natürlich die wichtigste und normalerweise schon
> völlig ausreichend.
Da das Passwort übertragen wird, kann ich es auch technisch
ausspionieren. Brute-Force ist sicher eine Möglichkeit, aber nicht die
einzige. (Siehe meine andere Mail)
--
Gruß
MaxX
Bitte beachten: Diese Mailadresse nimmt nur Listenmails entgegen.
Für PM bitte den Empfänger gegen den Namen in der Sig tauschen.
Reply to: