[Date Prev][Date Next] [Thread Prev][Thread Next] [Date Index] [Thread Index]

Re: por que es mas seguro ssh sin passwords?

Guimi wrote:

Martin Marques escribió:

Guimi wrote:
El principal problema de las contraseñas es que te las puedan adivinar o -sobretodo- robar. Por ejemplo -y por desgracia es más típico de lo que parece- acercarse a hablar con alguien y leer la clave en el post-it que tiene pegado en la pantalla. O que alguien acceda desde un "cibercafé" y un keylogger la grabe.
Si usamos llaves (y ojo yo las uso a montones... son súper cómodas :-D), como accedo desde la maquina del cibercafe (suponiendo que no se puede ingresar de otra forma)? Tendria que llevar mi clave privada, no? 

La puedes colgar en tu web :-P
(Ojo, es broma).


Uhhh, y yo ya lo estaba por hacer! ;-)
Tienes que llevar el fichero clave contigo, sí. Preferiblemente en un USB, por lo cómodo que es. Aunque no sea lo ideal, yo llevo la clave de un sistema y en ese sistema tengo las claves del resto de sistemas. Todas las claves con contraseña, claro.
Bueno, pero si puedo poner un keylogger, también puedo estar chupando los archivos de los dispositivos que se conecten a los puertos USB (ni que hablar de cosas importantes que pueden haber ahí aparte de las claves privadas).
Entonces, tengo tu clave privada, y con el keylogger tu passfrase y a que servidor te conectaste. :-) 

Remotisimamente va a pasar eso, pero se puede. :-)


Si perdiese mi USB alguien tendría que:
0.- saber algo de informática además de encender el guin2
1.- conocer / adivinar mi contraseña de esa clave
2.- conocer / adivinar para que sistema se utiliza
3.- entrar en el sistema para buscar las otras claves (fácil) y para cada una de ellas repetir 1 y 2 (y no, la contraseña no es la misma para todas las claves). 

Otras opciones que se me ocurren...
Se puede hacer lo mismo poniendo las claves en un servidor privado de ftp sobre ssl, que tampoco es una opción nefasta o, si te quieres arriesgar, colgarla en una parte privada de tu https (esto me da menos confianza). 

Tunnel VPN, con ingreso por pagina https (tipo road warrior).
Ya puestos, conozco gente que se la ha enviado a su correo-e y cuando la necesita conecta a su webmail... si al menos su cuenta de correo fuese privada (no gmail o similares) y el webmail funcionase sobre https... 

Bueno, me alegra no ser el único que conoce ese tipo de usuarios. ;-)
Para una empresa creo que lo más cómodo y menos problemático es darles a los usuarios un USB con el fichero clave (siempre con contraseña, insisto). Se puede adjuntar el PuTTY en el mismo USB, ya puestos.
Si la empresa maneja información sensible, no debería permitir accesos desde fuera de la red local. Esto es, obviamente, IMHO. 

--
 21:50:04 up 2 days,  9:07,  0 users,  load average: 0.92, 0.37, 0.18
---------------------------------------------------------
Lic. Martín Marqués         |   SELECT 'mmarques' ||
Centro de Telemática        |       '@' || 'unl.edu.ar';
Universidad Nacional        |   DBA, Programador,
    del Litoral             |   Administrador
---------------------------------------------------------
Reply to: