Ssh one-time password

[Rebel]

Stavo cercando un modo semplice, veloce e sicuro per collegarmi ai server. Per chi fosse interessato è possibile utilizzare queste chiavi in accoppiata con sshd:

One-Time Password (OTP) time based OTP c200

Fondalmentalmente si può creare uno script bash che dopo il normale login richiede anche la password generata dalla chiavetta e la compara con l'output di questo tool:

OTPTool - mod-authn-otp - Wiki-fied version of the otptool man page - Project Hosting on Google Code

Ho provato. Funziona.
Lo sto testando e imho è un'ottima alternativa al login tramite key.

[GrG]

Perchè ti servono alternative alla coppia di chiavi?

[WizOfOz]

ti sei comprato il dongle ?

[WizOfOz]

Perchè ti servono alternative alla coppia di chiavi?

è più comodo di un sistema a chiavi soprattutto se non sei o non puoi usare sempre lo stesso computer...

[GrG]

è più comodo di un sistema a chiavi soprattutto se non sei o non puoi usare sempre lo stesso computer...

e ho capito ma io su tutti i miei pc le chiavi le ho, sui non miei l'ultima cosa che mi sogno è una connessione SSH

[Uno]

Diciamo che potrebbe essere utile se ci si collega da un internet point per esempio.
Se anche uso le chiavi, magari portate dietro su una chiavetta usb, c'è il rischio che in qualche maniera possano rimanere in qualche cache, in qualche proxy etc.. della rete e del terminale occasionale che utilizzo. Con una password temporale utilizzabile una sola volta non c'è nessun pericolo.

Però personalmente porto sempre dietro un mio terminale, che sia pure un cellulare con putty o simili....

[WizOfOz]

e ho capito ma io su tutti i miei pc le chiavi le ho, sui non miei l'ultima cosa che mi sogno è una connessione SSH

beato te che vivi di certezze.. il mio mestiere è pensare all'imprevisto.. magari potessi pianificare tutto e che tutto andasse secono i miei piani

[GrG]

Arch, sono sempre in giro con la borsa del pc e la chiavetta HSDPA.

Ma non credo che nessuno di noi abbia mai fatto una connessione root da un internet point. Anche perchè non so come sono quelli dove andate voi, ma io sono entrato una sola volta in uno in inghilterra e le USB erano disattivate, così come ogni porta che non fosse la 80 o 443

[WizOfOz]

no certo che da un internet point no ma magari da casa di mio padre si.. in quel caso è comodo avere un dongle

[Rebel]

ti sei comprato il dongle ?

Si l'ho comprato, da qua:

OTP C200 Token (time based) - 1 unit | Gooze

Non costa molto. Le spese di spedizioni dalla Francia all'UK sono circa 9 eur. Immagino che per l'Italia siano uguali.

Comunque, io con le chiavi non mi trovo bene, piu' che altro per una questione di comodità e perché mi collego spesso da posti diversi, almeno 3 diversi pc e sinceramente credo che moltiplicando i luoghi dovo sono salvate le chiavi, moltiplichi anche le possibilità' che vengano rubate. Inoltre, non si sa mai cosa puo' succedere. Ad esempio sei in ferie e ti muore il portatile dove hai le chiavi... che fai?

Inoltre trattandosi, di one-time password, come metodo forse e' ancora più sicuro delle chiavi. Il punto debole e' la chiave critografica che ti inviano assieme al dongle, se ti rubano quella allora e' possibile generare le password. Ovviamente deve stare in qualche punto sicuro sul server. Si potrebbe pero' pensare ad un ulteriore livello di criptazione, magari utilizzando un pin da inserire prima della password OTP, e da utilizzare per decriptare la chiave crittografica del dongle e quindi passarla al tool che genera le password.

Un'altro punto debole e' che con il metodo che ho descritto, l'utente che effettua il login deve avere accesso allo script di login, quindi di conseguenza alla chiave critografica. Per ora ho provveduto a creare un gruppo ad hoc, a cui ho assegnato quell'utente, e limitato i permessi in lettura ed esecuzione delle script al solo gruppo in questione. Inotlre, supponendo di utilizzare dongle diversi per ogni utente, mal che vada verra' compromesso solamente quel particolare utente.
Sto googlando se ci siano alternative, come ad esempio un modulo per ssh.

Infine, se uno proprio volesse essere paranoico potrebbe pure configurare l'accesso sia con chiave che con dongle....

[Uno]

Tempo fa pensavo a una one-time password solo software.
Con un pò di buona volontà non sarebbe difficile da fare per qualsiasi software, magari da usare solo per emergenza.
Prima di partire mi stampo un foglietto con una sequenza di password usa e getta, se il sistema ha una specie di backdoor utile solo a disattivare la one-time se perdo il foglietto sono a cavallo.

Altro sistema è usare una shell java su un mio dominio https e che mi permetta di accedere al sistema con password normale, magari su utente normale scalando poi a root.

[Rebel]

Tempo fa pensavo a una one-time password solo software.
Con un pò di buona volontà non sarebbe difficile da fare per qualsiasi software, magari da usare solo per emergenza.
Prima di partire mi stampo un foglietto con una sequenza di password usa e getta, se il sistema ha una specie di backdoor utile solo a disattivare la one-time se perdo il foglietto sono a cavallo.

Altro sistema è usare una shell java su un mio dominio https e che mi permetta di accedere al sistema con password normale, magari su utente normale scalando poi a root.

Ce' questo per gli smartphone:

Mobile-OTP: Strong Two-Factor Authentication with Mobile Phones

Forse ancora meglio del dongle. Ora me lo studio un attimo. Magari e' possibile usare la medesima chiave crittografica della chiavetta, cosi' se mi scordo quella da qualche parte posso sempre creare un password con il cellulare.

[Uno]

Ce' questo per gli smartphone:

Mobile-OTP: Strong Two-Factor Authentication with Mobile Phones

Forse ancora meglio del dongle. Ora me lo studio un attimo. Magari e' possibile usare la medesima chiave crittografica della chiavetta, cosi' se mi scordo quella da qualche parte posso sempre creare un password con il cellulare.

A dire il vero, anche se forse un pò scomodo, basta pure collegarsi tramite cellulare, impostare una password su un utente con privilegi di root, usare questa password e questo utente su qualsiasi pc più comodo del cellulare e subito dopo tramite cellulare ricambiare la password (o farla cambiare a tempo in automatico).

Se serve una volta l'anno è più che sufficiente senza installare roba. Se l'usi tutti i giorni per via dei pc diversi è un'altro discorso, ma volendo basta automatizzare il processo tramite cellulare.