Re: ssh-Zugang nur mit key (ohne PW)
Dirk Finkeldey schrieb:
Was ist denn wenn man das System so einrichtet das ein Key automatisch
nach 26 Stunden abläuft wenn man sich nicht damit einlogt?
Sicherlich eine zusätzliche Sicherheitsmaßnahme, aber immer noch kein
Ersatz für das Passwort. Denn: Um mit einem PK ein System zu
kompromittieren, braucht es höchstwahrscheinlich *keine* 26 Stunden.
(Es sei denn, unter seltenen Umständen). Davon abgesehen ist es m.W.
nicht umsetzbar.
Dadurch wird das Schadensrisiko doch auch minimiert, der Benutzer der
seinen Key verloren hat kann ja auch per vorgegebener sms den Verlust
anzeigen und so für eine sofortige Sperrung des Keys sorgen.
Minimiert.. nun ja, eher geringfügig. Und das größere Problem dürfte
sein, ob der Key-Besitzer es auch merkt, bevor der Angreifer (der mit
dem Key in der Hand eindeutig im Vorteil ist) seinen Angriff auf das
System durchführt.
Ein neues Keypaar läßt sich ja rekativ einfach und schnell neu erzeugen,
im gegensatz zu Primzahlen;-)
Nun ja. Aber einen Key zu erzeugen dauert in den meisten Fällen länger,
als sich mit einem ungeschützten Key an einem System anzumelden, so denn
die Voraussetzungen dafür entsprechend sind.
Den Key ansich kann man inzwischen doch auch speziel in Bezug zur
Hardware setzen, ich meine das sich der Key nur auf einen bestimmten PC
benutzen läßt und sich automatisch löscht wenn versucht wird in auf
einen anderen PC zu benutzen.
Das wäre vielleicht möglich und wäre wiederrum *eine* Möglichkeit das
Angriffsrisiko zu senken. Aber der Zugriff auf ein bestimmtes System mit
einem ungeschützten Key erfolgt innerhalb von Sekunden. Es ist damit
also durchaus denkbar, dass der Angreifer direkt das System
kompromittiert und sich einen Tunnel öffnet für weitere Handlungen und
dann verschwindet. Ich gebe zu, dass das Sicherheitsrisiko dadurch aber
in den meisten Fällen *erheblich* reduziert werden kann.
Es bleibt aber wie es nun einmal ist. Ein PK ohne Schutz durch eine
Passphrase ist unsicher. Ist aber ansich auch nicht so schlimm, weil man
ja Möglichkeiten hat, dass man nicht ständig die Passphrase neu eingeben
muss.
Gruß
Patrick
Reply to: