Einmalpasswörter / One Time Password - Erfahrungen?

peterle

peterle

Forenkasper
Ich habe hier eine Anfrage zu recht sensible Datenspeicherung im Internet.

Der Wunsch steht den Herrschaften nach owncloud und wie ich gesehen habe, gibt es da eine OTP-apps zu.
https://apps.owncloud.com/content/show.php/OpenOTP+Authentication?content=174704

Die benutzen dort rcvdes:
https://www.rcdevs.com/

Es gibt aber auch einen FreeBSD-Port mit einem OTP:
http://www.freshports.org/security/otpw/

Hat einer von Euch so etwas schon mal zusammengestrickt und wie sind eure Erfahrungen damit?

Wie immer mit Dank!
 
Ich muss ja gestehen, das meine nicht gerade sehr innovative Loesung einfach folgendes fuer alle moeglichen zufaelligen Passwoerter ist:

Code: 
head -c300 /dev/urandom | strings -n1 | tr -cd '[:alnum:]' | head -c 15 ; echo

Aber es funktioniert.
 
Der ist gut!

Mir ging es aber um eine Absicherung per Benutzername + Passwort + Token
Wobei das Token sich alle paar Minuten ändert.
 
Hallo!

Hast du dir yubikey schon mal angesehen?
Habe ein paar im Einsatz und das funktioniert sehr gut.

Gibt für alle möglichen Systeme dementsprechende Plugins.

Grüß roema

Edit: Hab gerade gesehen, dass es für owncloud ein Plugin gibt.
 
Für applications habe ich es noch nicht genutzt.

Auf einem VPS habe ich allerdings nach dieser Anleitung OPIE eingerichtet und kann mir dann vorab eine Liste von Einmal-Passwörtern ausdrucken. Somit habe ich eine Möglichkeit, mich auf dem Server ohne meinen SSH-Key einzuloggen und ohne ein dauerhaftes Password preiszugeben. Es ist einfach und schnell eingerichtet.

Benötigt habe ich diese Möglichkeit seitdem allerdings noch nicht.
 
roema schrieb:
Hast du dir yubikey schon mal angesehen?
Habe ein paar im Einsatz und das funktioniert sehr gut.
Zum Vergrößern anklicken....

Habe ich, aber wenn ich das Ding richtig verstehe, dann braucht es auf dem Client eine spezielle Software, um den Schlüssel aus dem Yubikey zu lesen und der wird dann auch noch irgendeinem Programm zugewiesen - aber vielleicht habe ich das System auch noch nicht richtig begriffen. :o

Wofür benutzt Du den und kann man den unter FreeBSD nutzen?
 
Hallo peterle!

Ja, das kannst du! Das tolle an dem Stick ist, dass er als gewöhnliche Tastatur erkannt wird und so ohne Installation auskommt. Einfach anstecken, Cursor in das OTP Feld und den Button am Yubikey betätigen. Hat sogar zwei "Slots", du kannst also zwei OTP's konfigurieren.

Ich habe den Stick bei meinen Telefonanlagen (freeBSD/NanoBSD) im Einsatz, hier wird über den USB Port ein OTP (Yubikey) abgefragt und verifiziert, danach ist ein Fernwartungzugriff möglich.

Schau mal hier: FreshPorts-Yubikey

Verifizierung läuft über die ybikey Server ODER, was meines Erachtens besser ist, über deinen eigenen Server. Gibt einfache Webserver die über eine mysql Datenbank die OTP verifizieren und danach als "benutzt" markieren.

Lg Roema
 
Hab auch ein Programm, welches loakl einen Key verifiziert, also keine Internetanbindung erfordelich.

Roema

Edit: auf meinen Anlagen benutze ich den Yubikey für challenge-response Abfragen mit folgendem Tool:

ykpers

Funktioniert prima!
 
Ich nutze seit Jahren auf div. Systemen Google Authenticator (https://github.com/google/google-authenticator), eingebunden über PAM. Nicht vom Namen irritieren lassen, ist kein Cloud-Service o.ä., rein lokale Lösung, Quellen sind offen. ;-)

Auf dem Smartphone verwalte ich in der App ein gutes Dutzend Token, die ich v.a. als Fallback für SSH nutze, falls der Private Key gerade nicht vorliegt (auf eingeschränkt vertrauenswürdigen Systemen, durch 2. Faktor reduziertes Keylogging-Risiko). Einen AWS-Token hab ich da auch drin... Läuft sehr zuverlässig!

Gruß
 
Du musst dich einloggen oder registrieren, um hier zu antworten.
Zurück
Oben