Sziasztok,
olvastam a neten a dupla autentikációról SSH esetében is:
https://scottlinux.com/2013/07/28/google-authenticator-two-factor-ssh-a…
Kérdésem, ez mennyire biztonságos, ha mindenki a Google-t használja, van-e ennek a megoldásnak gyengéje?
Kalmi
- 3642 megtekintés
Hozzászólások
A gyengéje a bizalom (a többi gyengéje meg flame szagú, nem indítanám be, ha nem muszáj :) ). Ha nem bízol a nagy tesóban, akkor választhatsz ugyanilyen megoldást nyílt forrásúból is, rengeteg van.
- A hozzászóláshoz be kell jelentkezni
GA nyílt forrású és lokál telepítésű cucc, nem kell bíznod a nagy tesóban ;)
- A hozzászóláshoz be kell jelentkezni
En sem ertem, a libpam-google-authenticator standalon es nyilt forrasu. Nem hasznal G eroforrast semmihez, plusz teljesen szabvanyos, meg WP-n is van kliens amivel a time based kodot lehet hasznalni.
En hasznalom tobb helyen is.
- A hozzászóláshoz be kell jelentkezni
subscribe
------------------------------------------------------------------------------
www.woodmann.com/searchlores/welcome.htm
- A hozzászóláshoz be kell jelentkezni
+1
--
blogom
- A hozzászóláshoz be kell jelentkezni
Köszi az infót, bevallom, nem néztem utána annak, hogy az nyílt-e, vagy sem. Ettől függetlenül azon nem változtat, hogy bizalom kérdése, mint ahogyan bármelyik másik szoftver használata (még ha nyílt is).
- A hozzászóláshoz be kell jelentkezni
Miből lehetne választani, egy-két konkrét megoldást írtok :)
Köszi!
- A hozzászóláshoz be kell jelentkezni
Ha már minden képpen erősíteni akarod az SSH védelmét akkor használj inkább tanusítvány alapú authentikációt, a privát kulcs meg legyen chip kártyán.
Csak egy hátránya van, hogy kényelmetlen.
- A hozzászóláshoz be kell jelentkezni
Meg ha besz@rik a chipkártya, akkor bac6od.
- A hozzászóláshoz be kell jelentkezni
Akkor adsz ki új cert-et új kártyára, lássuk be azért ez nem egy gyakori eset.
Biztonság vs kényelem.
Mondtam, hogy kicsi macerás lesz.
- A hozzászóláshoz be kell jelentkezni
A TOTP/HOTP is egy shared secrettel (gyk. jelszó) működik, csak az benne a trükk, hogy egy algoritmus segítségével véd a lehallgatás ellen, de a titkot valahol tárolni kell, és ellophatják ugyanúgy. Az algoritmus szabványos és nyílt, a GA egy kényelmi lehetőség, önmagában nem félnék tőle, de lehet mást használni helyette.
- A hozzászóláshoz be kell jelentkezni
A RADIUS nem lenne jobb?
- A hozzászóláshoz be kell jelentkezni
És a RADIUS szerveren mi legyen az autentikációs backend?
- A hozzászóláshoz be kell jelentkezni
Mi egy pár hónapja használjuk, és nem volt vele semmi gond.
- A hozzászóláshoz be kell jelentkezni
Sziasztok!
Részemről ez a kérdés utoljára 2 éve volt nyitott, akkor nagyon sok megoldást végignyálaztunk a haverokkal és végül abban egyeztünk meg, hogy az lesz minden szempontból a legjobb, ha yubikey-t veszünk.
Előnyök:
- van hw
- a központi sw megoldás FOSS, letölthető, telepíthető, stb., de az övékét is használhatja bárki
- Már akkor volt rengeteg netes cuccra integrált megoldás, ami másoknak előny
- Nem időalapú, nem kell perceket várni (és biztonságosabb is)
- a hw mindennel működik, ami képes egy usb-s billentyűzetet használni (androidos telefonnal is megy pl)
- van egy szabad slot a kulcson, amit kb bármire lehet használni.
Hátrányok:
- van hw
- a központi auth szoftver telepítése és beállítása igen-igen macerás (mondjuk onnantól viszont nem volt vele semmilyen gond az elmúlt 2 évben)
FathoM
- A hozzászóláshoz be kell jelentkezni