Saako linuxiin dynaamisen salasanan?
Eli kännykässä avataan äppi, missä on salasana, joka vaihtuu 30 sekunnin välein. Ja vain sillä pääsee kirjautumaan koneeseen.
Dynaaminen salasana linuxiin?
22
<50
Vastaukset
- Anonyymi
Miksei vaihdu 10 tai 5 sekunnin välein?
- Anonyymi
RSA on usa hallitsema, miksi kukaan sellaisen haluaisi Linuxiin!
Ilmeisesti nuo kaupalliset tokenit toimivat Linux -arkkitehtuurissakin, koska tuki on asennettavissa ja kirjastot valmiina.
Käännypä lähimmän turvalaitetoimittajan puoleen saadaksesi lisätietoja ja hintoja, esim RSA SecurID.- Anonyymi
Onko se merkittävästi turvallisempi vaihtaa noin tiheästi, tuleehan siihen salasanan käsittelyä monta kertaa useammin kuin normaalisti, kun ottaa huomioon että vaihtamisella turvataan salasanan vuotaminen, ja toistuva käyttö.
Oleellisempa on se, että tunnistautuminen on voimassa vain sen yhden kerran samalla salasanalla.
Enpä minäkään luottaisi ainakaan isojen tekijöiden patentoituihin tokeneihin tai appseihin, vaan suosisin vapaata ja avointa tuotekehitystä. Tätäkin tehdään, myös kaupallisesti.
Avoin koodi on kriittisen tärkeää kaikessa turvallisuuteen liittyvässä.
Aihe on niin monisyinen, että kannattaa lukea aiheesta ammattikirjallisuudesta. Käsittääkseni "muoti" ajaa käyttämään haavoittuvia ja epävarmoja älypuhelimia tokenien sijasta, mutta heikoin lenkki edelleenkään ei ole kone, vaan ihminen, joka näitä suojauksia kehittää ja käyttää. Ehkä sillä vempaimella on vähemmän merkitystä kokonaisuuden kannalta kuin luulisi.
- Anonyymi
Eli siis kännykkä ja tietokone on jotenkin synkronisoitu keskenään ja kännykkä muuttaa tuhkatiheään tietokoneen salasanan?
Tässä on selvä turvallisuusriski.- Anonyymi
Todennäköisesmmin sekä tietokoneessa että kännykän apissa on sama avain ja sen perusteella generoidaan uusi salasana tietyn väliajoin.
- Anonyymi
Ei vain turvallisuusriski, vaan äärimmäinen . . . Ihmiset keksii ihan outoja juttuja vainoharhaisuudesta kärsiessään.
- Anonyymi
Anonyymi kirjoitti:
Todennäköisesmmin sekä tietokoneessa että kännykän apissa on sama avain ja sen perusteella generoidaan uusi salasana tietyn väliajoin.
Eli jos kännykkä varastetaan, varas saa haltuunsa myös kännykän omistajan tietokoneen salasanan.
- Anonyymi
Anonyymi kirjoitti:
Eli jos kännykkä varastetaan, varas saa haltuunsa myös kännykän omistajan tietokoneen salasanan.
Pitäisi myös varastaa pin koodi ja kännykän avaamisen tarvittava sormenjälki.
- Anonyymi
Anonyymi kirjoitti:
Ei vain turvallisuusriski, vaan äärimmäinen . . . Ihmiset keksii ihan outoja juttuja vainoharhaisuudesta kärsiessään.
Minua ei ainakaan huvita muistaa ulkoa jokaisen palvelun %uEs74¤%€&5sKe7aa pituisia salasanoja, jotka pitäisi vaihtaa 6kk välein ja opetella ulkoa uudestaan. Mieluummin kirjaudun palveluun puhelimela sormenjäljen avulla.
- Anonyymi
Anonyymi kirjoitti:
Pitäisi myös varastaa pin koodi ja kännykän avaamisen tarvittava sormenjälki.
Puhelin voi olla auki varastamishetkellä jolloinka PINniä ei tarvi. Samaten puhelimen käyttäjä todennäköisemmin ei käytä sormenjälkitunnistusta kuin käyttää.
- Anonyymi
Anonyymi kirjoitti:
Puhelin voi olla auki varastamishetkellä jolloinka PINniä ei tarvi. Samaten puhelimen käyttäjä todennäköisemmin ei käytä sormenjälkitunnistusta kuin käyttää.
Edelleen pitää tietää salasana/pin koodi plus kännykällä varmistaa kirjautumin. siksi sitä kutsutaan kaksoisautentikoinniksi. Joten et tee puhelimella mitään, ilman pin koodia.
Ja en tunne ketään, joka ei käyttäisi lukitusta kännykässä. Jos sellainen idiootti on olemassa, niin sillä voi olla tunnus ilman salasanakin, joten ei tarvita murtaa mitään.
- Anonyymi
Mutta niin turhaakin hössötystä kaikista tuollaisista salasanoista, koska eihän noissa kulje mitään tärkeää tietoa yleensä vain jotain viestejä perheen jäsenille ja sellaista...
Hakkereillakaan ei ole mitään järkeä hakkeroida jotain sähköpostitilejä ja lukea että toisten niin....- Anonyymi
Vanha sanonta:
"Varas luulee kaikkien muidenkin varastavan". - Anonyymi
Juu ei mitään syytä hakkeroida sähköposteja, sähköpostin avulla vaan pystyy nollaamaan minkä tahansa muun palvelun salasanan.
- Anonyymi
Jos halutaan nimenomaan sellainen toteutus, missä kännykässä on sovellus, jolta syötettävä salasana tai tunnusluku saadaa niin ainakin Debianissa on saatavilla tarvittava softa Google Authenticatorin käyttöön. Google Authenticatoria voi käyttää tunnistautumisessa kaikessa missä linuxin PAM -autentikointisysteemiä käytetään. Eli sitä voi käyttää esimerkiksi lisävarmenteena sisäänkirjautumisessa työpöydälle jne. Itselläni Google Authenticator toimii lisävarmenteena kaksivaiheisessa tunnistautumisessa tällä läppärillä ajossa olevalle SSH -palvelimelle. Tarvittava paketti on libpam-google-authenticator ja sen voi asentaa näin:
apt install libpam-google-authenticator
Netistä löytyy ohjeita siitä kuinka Google Authenticator otetaan käyttöön tietokoneella, ja jos en väärin muista kirjoitin joskus aikanaan siitä tänne itsekin, aivan varma en ole muistanko oikein. Puhelimeen pitää lisäksi asentaa Google Authenticator -sovellus.
T. miksuh- Anonyymi
Ja jos on yhtään kiinnostusta, niin ainakin pam-ldap moduli on kohtuullisen luettavaa vielä, koska protokolla ei ole kovinkaan monimutkainen, eli autentikointia pystyy tekemään ainakin omaa ldap-serveriä vasten ja siitä ei enää kovin pitkä matka ole omaan appiin joka käyttää libldap2-dev:iä backendinä - ihan vaan selaamalla tuon esimerkkitapauksia. Muista nyt kuitenkin pitää joku käyttäjä tuon systeemin ulkopuolella, että pääset tekemään loginin koneellesi jos ei netti toimikkaan - vaikka sitten 200 merkkisellä salasanalla! ;) PAM muuten tukee myös menetelmien ketjutusta, eli voit pitää taustalla varalla salasana-metodinkin - ainakin siihen asti että varmistut kaiken toimivan.
Muutenkin PAM:lle löytyy tukea useaankin paikkaan tehdä autentikointia, kannattaa katsoa mitä olisi jo valmiina tyrkyllä! Mutta tuo yo. sepustus sillä verukkeella, että kyse ei ole aina niin monimutkaisesta asiasta, kuin aluksi luulisi, vaikka kyllä siitä hankalankin saa, kun ottaa mukaan kryptausta ja varmennuksia joka suuntaan! - Anonyymi
Anonyymi kirjoitti:
Ja jos on yhtään kiinnostusta, niin ainakin pam-ldap moduli on kohtuullisen luettavaa vielä, koska protokolla ei ole kovinkaan monimutkainen, eli autentikointia pystyy tekemään ainakin omaa ldap-serveriä vasten ja siitä ei enää kovin pitkä matka ole omaan appiin joka käyttää libldap2-dev:iä backendinä - ihan vaan selaamalla tuon esimerkkitapauksia. Muista nyt kuitenkin pitää joku käyttäjä tuon systeemin ulkopuolella, että pääset tekemään loginin koneellesi jos ei netti toimikkaan - vaikka sitten 200 merkkisellä salasanalla! ;) PAM muuten tukee myös menetelmien ketjutusta, eli voit pitää taustalla varalla salasana-metodinkin - ainakin siihen asti että varmistut kaiken toimivan.
Muutenkin PAM:lle löytyy tukea useaankin paikkaan tehdä autentikointia, kannattaa katsoa mitä olisi jo valmiina tyrkyllä! Mutta tuo yo. sepustus sillä verukkeella, että kyse ei ole aina niin monimutkaisesta asiasta, kuin aluksi luulisi, vaikka kyllä siitä hankalankin saa, kun ottaa mukaan kryptausta ja varmennuksia joka suuntaan!En tiedä mihin aiempi kommenttini tästä ketjusta katosi, mutta kuten sanoin niin kun Google Authenticator on otettu käyttöön se ei vaadi nettiyhteyttä toimiakseen. Eli sen tapauksessa sillä ei ole merkitystä toimiiko netti vai ei. Google Authenticatoria voitaisiin käyttää jopa esimerkiksi käyttäjän paikallisen työpöydälle kirjautumisen lisävarmenteena tietokoneessa, joka ei ole lainkaan verkossa. Se on tietty hyvä, idea, että on vaihtoehtoisia tapoja kirjautua, sitä en kiellä.
T. miksuh - Anonyymi
Anonyymi kirjoitti:
En tiedä mihin aiempi kommenttini tästä ketjusta katosi, mutta kuten sanoin niin kun Google Authenticator on otettu käyttöön se ei vaadi nettiyhteyttä toimiakseen. Eli sen tapauksessa sillä ei ole merkitystä toimiiko netti vai ei. Google Authenticatoria voitaisiin käyttää jopa esimerkiksi käyttäjän paikallisen työpöydälle kirjautumisen lisävarmenteena tietokoneessa, joka ei ole lainkaan verkossa. Se on tietty hyvä, idea, että on vaihtoehtoisia tapoja kirjautua, sitä en kiellä.
T. miksuhLisään sen, että puhelimen ja tietokoneen kellon pitää tietenkin ollakutakuinkin samassa ajassam muutoin homma ei tietenkään toimi.
T. miksuh
- Anonyymi
Kannattaa tollot tallettaa kaikki salasana palveluun, pääsee NSA vähä helpommalla !
Jos ne niitä edes tarvii !- Anonyymi
Tuo on omastakin mielestäni aika riskialtista, jos kaikki salasanat ovat vain yhden salasanan takana. Ja jos joku arvaa sen yhden salasanan, niin saa kaikki salasant selville.
Siksi tupla-autentikointi on mielestäni paljon parempi. Joku helppo salasana palveluun, jonka muistaa ja sitten varmistetaan kirjautuminen puhelimella.
Ketjusta on poistettu 1 sääntöjenvastaista viestiä.
Luetuimmat keskustelut
Mielessäni vieläkin T
Harmi että siinä kävi niinkuin kävi, rakastin sinua. Toivotan sulle kaikkea hyvää. Toivottavasti löydät sopivan ja hyvän221321Nellietä Emmaa ja Amandaa stressaa
Ukkii minnuu Emmaa ja Amandaa stressaa ihan sikana joten voidaanko me koko kolmikko hypätä ukin kainaloon ja syleilyyn k71272- 51196
Nähtäiskö ylihuomenna taas siellä missä viimeksikin?
Otetaan ruokaöljyä, banaaneita ja tuorekurkkuja sinne messiin. Tehdään taas sitä meidän salakivaa.21184Sinäkö se olit...
Vai olitko? Jostain kumman syystä katse venyi.. Ajelin sitten miten sattuu ja sanoin ääneen siinä se nyt meni😅😅... Lis11173Persut petti kannattajansa, totaalisesti !
Peraujen fundamentalisteille, vaihtkaa saittia. Muille, näin sen näimme. On helppo luvata kehareille, eikä ne ymmärrä,11171Pupuhuhdasta löytyi lähes sadan kilon miljoonalasti huumeita
Pupuhuhdasta löytyi lähes sadan kilon miljoonalasti huumeita – neljä Jyväskylän Outlaws MC:n jäsentä vangittu: "Määrät p421157Housuvaippojen käyttö Suomi vs Ulkomaat
Suomessa housuvaippoja aletaan käyttämään vauvoilla heti, kun ne alkavat ryömiä. Tuntuu, että ulkomailla housuvaippoihin21154Hyvää yötä ja kauniita unia!
Täytyy alkaa taas nukkumaan, että jaksaa taas tämän päivän haasteet. Aikainen tipu madon löytää, vai miten se ärsyttävä31139Lepakot ja lepakkopönttö
Ajattelin tehdä lepakkopöntön. Tietääkö joku ovatko lepakot talvella lepakkopöntössä ´vai jossain muualla nukkumassa ta21120