[Linux]Veilig inloggen op reis - Linux en overige clients

maandag 30 januari 2006 17:41

Acties:

Topicstarter

Binnenkort ga ik voor een periode van ongeveer 4 maand reizen door Azië. Nu zat ik me te bedenken dat ik ook vanaf daar regelmatig mijn mail ga checken en misschien ook af en toe inloggen via ssh op mijn server.
Nu zijn de internetcafé's vaak een beetje brak en ben ik aan het bedenken hoe ik kan zorgen dat nooit m'n passwd wordt misbruikt met behulp van bijvoorbeeld een key-logger.

Ik dacht aan een applicatie die zorgt dat, elke keer nadat ik succesvol heb ingelogd via mail of ssh, mijn wachtwoord dan automatisch aan de hand van een rekensom wijzigt zodat een wachtwoord geen tweede keer gebruikt kan worden.

Als rekensom zat ik te denken om gebruik te maken van de datum en het aantal logins op die dag ofzo. Ik zal misschien zelf wat moeten schrijven dat na het inloggen via ssh in een bash script automatisch een nieuw password genereerd.

Of bestaat er al iets wat dit regelt?

Freelance Drupal Developer

maandag 30 januari 2006 17:45

Acties:

Arnout

Zie hier (voor SSH): http://www.cs.columbia.ed...rces/network/otp-ssh.html

maandag 30 januari 2006 17:49

Acties:

praseodymium

Misschien kun je in je login script een willekeurig wachtwoord instellen, gebruikmakend van een script zoals http://www.osix.net/modules/article/?id=570 (of een van de andere scripts die er zijn). Je moet dan bij het inloggen denk ik wel je huidige wachtwoord nog een keer intypen, en het nieuwe wachtwoord op de shell printen - wat misschien niet echt veilig is voor je.

Je zou als alternatief ook een gpg key kunnen gebruiken om verbinding te maken, al moet je dan je private key bij je houden en zorgen dat deze niet gekopieerd kan worden.

maandag 30 januari 2006 17:52

Acties:

Reptile209

- gers -

Misschien kan je je server een random key laten genereren en die via SMS naar je laten versturen na een connectie op een bepaalde poort. Dus je 'triggert' een SMS door te connecten op een willekeurig te kiezen poort, wacht op je SMS-je en logt in met het password dat daar in staat.

Todo-list:

* password generator
* SMS-verstuur systeem
* poort-trigger-reactie scriptje

Zo scherp als een voetbal!

maandag 30 januari 2006 17:54

Acties:

HarmoniousVibe

Waarom gebruik je geen public/private keypair om in te loggen?

12 × LG 330Wp (Enphase) | Daikin FTXM-N 3,5+2,0+2,0kW | Panasonic KIT-WC03J3E5 3kW

maandag 30 januari 2006 18:15

Acties:

smokalot

titel onder

met one-time passwords ben je in principe veilig. Je kunt ook wel zelf een programma schrijven wat je paswoord verandert, maar dan heb je hetzelfde, alleen dan foutgevoeliger

public/private key kan ook, maar die moet je dan toch ook op de een of andere manier op die machine krijgen, en dat kan nooit veilig.

It sounds like it could be either bad hardware or software

maandag 30 januari 2006 18:19

Acties:

XTerm

LB06 schreef op maandag 30 januari 2006 @ 17:54:
Waarom gebruik je geen public/private keypair om in te loggen?

Dan heb je op een compromised host nog steeds die key + passphrase nodig. Helpt niet

maandag 30 januari 2006 18:44

Acties:

webfreakz.nl

el-nul-zet-é-er

Is het niet mogelijk ergens een array met wachtwoorden in een password.conf file ofzo te zetten en elke keer na ingelogd te hebben er 1 'door te krassen' ? Oke, lullig als de verbinding verbroken wordt maar 1000 passwords zijn zo gemaakt + in email zetten? Of denk ik heel ingewikkeld nu?

"You smell that, son? What sir? Napalm, I love the smell of napalm in the mornin!" || Children of Bodom fan!

maandag 30 januari 2006 18:51

Acties:

smokalot

titel onder

webfreakz.nl schreef op maandag 30 januari 2006 @ 18:44:
Is het niet mogelijk ergens een array met wachtwoorden in een password.conf file ofzo te zetten en elke keer na ingelogd te hebben er 1 'door te krassen' ? Oke, lullig als de verbinding verbroken wordt maar 1000 passwords zijn zo gemaakt + in email zetten? Of denk ik heel ingewikkeld nu?

ja, en dat heet dan dus de one-time-password functie van openssh. maar plaintext op schijf zetten of in je email lijkt me dan weer een slecht idee.

It sounds like it could be either bad hardware or software

maandag 30 januari 2006 21:05

Acties:

tomato

Neem ook een live CD mee (bijv Ubuntu), zolang je die kunt gebruiken ben je redelijk veilig.

maandag 30 januari 2006 21:11

Acties:

markvt

Peppi Cola

Ik heb in frankrijk in een internet cafe geweest waar de pc's een linux distributie draaide waar je op inlogde met support voor ssl irc etc. kon alleen niet rdesktoppen

van-tilburg.info -=- meka (sega emulator) - Proud MEDION fanclub member - KOPPIG VOLHOUDEN !

maandag 30 januari 2006 22:17

Acties:

smokalot

titel onder

tomato schreef op maandag 30 januari 2006 @ 21:05:
Neem ook een live CD mee (bijv Ubuntu), zolang je die kunt gebruiken ben je redelijk veilig.

ik zou dan knoppix nemen, *nog* betere hardware support.

maar goed, volgens mij vinden veel internetcafes dat niet tof. ik zou dat iig als internetcafehouder niet tof vinden, je wilt toch je netwerk kunnen vertrouwen. stel je voor dat iemand een dhcp server gaat draaien ofzo.

It sounds like it could be either bad hardware or software

maandag 30 januari 2006 23:32

Acties:

Verwijderd

Is een RSA securid of cryptocard geen idee? Hoef je niet te kloten met meerdere wachtwoorden maar hoef je alleen dat ding mee te nemen. Voor remote inloggen op het netwerk op mijn werk heb ik een cryptocard met een pincode erop. Dat zijn dus een soort van one time passwords; je krijgt een challenge, die tik je in op de cryptocard en er komt een response die je moet intikken. Dan kunnen ze loggen wat ze willen maar ze zullen er niks aan hebben zolang ze je crypto niet hebben. En zelfs al hebben ze je crypto, dan moeten ze nog de pincode hebben.

maandag 30 januari 2006 23:36

Acties:

RSpliet

*blink*

Verwijderd schreef op maandag 30 januari 2006 @ 23:32:
Is een RSA securid of cryptocard geen idee? Hoef je niet te kloten met meerdere wachtwoorden maar hoef je alleen dat ding mee te nemen. Voor remote inloggen op het netwerk op mijn werk heb ik een cryptocard met een pincode erop. Dat zijn dus een soort van one time passwords; je krijgt een challenge, die tik je in op de cryptocard en er komt een response die je moet intikken. Dan kunnen ze loggen wat ze willen maar ze zullen er niks aan hebben zolang ze je crypto niet hebben. En zelfs al hebben ze je crypto, dan moeten ze nog de pincode hebben.

En mocht je nou een (Palm) PDA hebben, dan moet dit niet eens moeilijk te schrijven zijn (HB+ meen ik is heel simpel een Palm applicatie voor te schrijven). Dan kan dit zonder extra hardware, moet je alleen pielen op een goed loginscript. Dan krijg je een systeem ala ABN Amro Internetbankieren dus, maar dan zonder pasje.

Schaadt het niet, dan baat het niet

maandag 30 januari 2006 23:45

Acties:

CyBeR

💩

tomato schreef op maandag 30 januari 2006 @ 21:05:
Neem ook een live CD mee (bijv Ubuntu), zolang je die kunt gebruiken ben je redelijk veilig.

Enige probleem zijn dan nog de keyloggers die gewoon tussen de PS2 connector van het keyboard zitten en die van de PC. S/Key is eigenlijk de enige manier om dit echt secure te doen. Genereer wel genoeg wachtwoorden vantevoren

All my posts are provided as-is. They come with NO WARRANTY at all.

maandag 30 januari 2006 23:54

Acties:

roan

Of het windows toetsenbord programma gebruiken. Geen keylogger die daar tegenop kan.

Als ze daar iig windows gebruiken...

[ Voor 20% gewijzigd door roan op 30-01-2006 23:54 ]

dinsdag 31 januari 2006 00:21

Acties:

Wirehead

Kan je van niemand voor die tijdspanne een laptop / pda met wifi lenen ? (desnoods kopen)

Log dan gewoon in bij <insert random openstaand Accesspoint>, zet een VPN verbinding op en typ erop los?

Denon AVR-X2800H, Quadral Amun Mk.III, Technics SL-7, DIY PhonoPre, AT-152LP / 4.225kW Heckert Solar / SMA 3.0-1AV-41 / Kia e-Niro 64kWh First Edition

dinsdag 31 januari 2006 09:39

Acties:

jvhaarst

Eendracht maakt macht

Om een OTP te laten genereren op je mobiel, kijk hier :
http://www.cs.umd.edu/~harry/jotp/

What is this?
This is an OTP calculator. OTP is the One-Time Password system also known as S/Key (which is a trademark of Bellcore, so the name OTP is often used instead). OTP is a system for generating a series of one-time passwords, with which users can authenticate themselves to a remote system without the worry of that password being snooped and re-used to gain unauthorized access to that system by an intruder. Once a one-time password is successfully used, the system will expect a new one-time password the next time, so even though a one-time password can be snooped, it cannot be re-used.

An OTP one-time password is calculated by combining a seed with a secret password known only to the user, and then repeatedly applying either the MD4 or MD5 secure hash algorithms a number of times equal to the sequence number. Each time the user is authenticated, the sequence number expected by the system is decremented.

If you don’t have enough time, stop watching TV.

dinsdag 31 januari 2006 13:51

Acties:

daft_dutch

>.< >.< >.< >.<

knoppix cd mee nemen.
als inet cafe beheerder dat niet goed vind

open putty open een text pad.

textpad :grewjgre43
putty: letter 1 username
textpad :uykuyuyr
putty: letter 2 username

zefde bij ip en password
slimme keylogger die dat begrijpt.

[ Voor 17% gewijzigd door daft_dutch op 31-01-2006 13:52 ]

>.< >.< >.< >.<

dinsdag 31 januari 2006 14:04

Acties:

TRON

daft_dutch schreef op dinsdag 31 januari 2006 @ 13:51:
knoppix cd mee nemen.
als inet cafe beheerder dat niet goed vind

open putty open een text pad.

textpad :grewjgre43
putty: letter 1 username
textpad :uykuyuyr
putty: letter 2 username

zefde bij ip en password
slimme keylogger die dat begrijpt.

Er zijn genoeg keyloggers die het actieve scherm ook noteren + bijbehorende velden.

Leren door te strijden? Dat doe je op CTFSpel.nl. Vraag een gratis proefpakket aan t.w.v. EUR 50 (excl. BTW)

dinsdag 31 januari 2006 15:01

Acties:

RSpliet

*blink*

TRON schreef op dinsdag 31 januari 2006 @ 14:04:
[...]

Er zijn genoeg keyloggers die het actieve scherm ook noteren + bijbehorende velden.

Dus combineren met het onscreen toetsenbord van Windows, wordt nog leuk zo

Is het niet eenvoudiger om een tijdelijke gebruiker met tijdelijk wachtwoord op je pc aan te maken. Dan log je daarmee in, en die dump je gewoon als je thuis bent.

[ Voor 23% gewijzigd door RSpliet op 31-01-2006 15:02 ]

Schaadt het niet, dan baat het niet

dinsdag 31 januari 2006 17:53

Acties:

TimDJ

Topicstarter

hoop goede tips hier thnx! telefoon neem ik mee dus zou inderdaad gebruik kunnen maken van een lijstje passwords of generator in java. Maar waar het nu redelijk op gericht lijkt te zijn is SSH maar met webmail gebruik ik hetzelfde wachtwoord. Het zou dus misschien op dieper niveau in linux moeten zitten of ook nadat met IMAP (squirrel webmail) ingelogd is het wachtwoord moeten opschuiven. ik kan natuurlijk ook gewoon altijd m'n mail via ssh lezen.

Een aparte user lijkt me niet echt handig. In geval van problemen met de server moet ik namelijk genoeg rechten hebben om bepaalde dingen aan te passen.

Het makkelijkste lijkt me dan toch inderdaad een lijst afdrukken of in m'n telefoon zetten met genoeg "one time passwords". Zonder verdere informatie kan verlies van een A4tje met wachtwoorden niet heel erg veel kwaad.

Freelance Drupal Developer

dinsdag 31 januari 2006 18:34

Acties:

smokalot

titel onder

Na een beetje zoeken (gave technieken allemaal!) ben ik wijzer dat er een project genaamd OPIE (One time Passwords In Everything) is, wat oa via PAM kan werken, en daardoor alles met OTP kan laten werken. Zie [url=http://comments.gmane.org/gmane.mail.squirrelmail.user/27268]deze thread[/qurl] over squirrelmail (/andere webmailclients) met OPIE.

It sounds like it could be either bad hardware or software