[FUG-BR] SSH com chave e senha

Jean Everson Martina everson em inf.ufsc.br
Quinta Junho 11 07:52:55 BRT 2009


Infelizmente isto não é usar dois métodos, mas sim usar duas vezes o  
mesmo método, o que não adiciona nada a segurança, pois não defende de  
um atacante mais bem posicionado.

Só faria alguma diferença se a sua chave estivesse guardada em um  
token (tipo um smart card), onde a chave passaria a ter a propriedade  
de unicidade (ela só existe em um lugar e não pode ser copiada pra  
outro). Nesse caso a chave seria "what you have". Principalmente  
porque você está usando duas vezes um método baseado em "what you  
know", que é a forma mais fraca de autenticação, não faz sentido.  
Empilhar métodos de posse e biometria até faz algum sentido, mas não  
métodos de conhecimento.

Se o atacante roubar a chave cifrada, ele ainda precisa da senha. Se  
ele roubar a senha da chave cifrada, o que impede ele de roubar a  
senha do passwd?

Pra aumentar o seu grau de segurança, você tem que fazer o que o  
Douglas Santos sugeriu e ir pra tokens ou definitivamente para  
biometria.

Inclusive eu e ele ja trabalhamos em um projeto em que usavamos  smart  
cards e tokens em FreeBSD. É super estável e seguro.Tudo isso para  
aplicações críticas de segurança (AC Raiz da ICP-EDU e da ICP-Brasil).


Jean

On 11 Jun 2009, at 01:17, Enio Marconcini -:- www.Enio.Pro.Br -:- wrote:

> exatamente, eu teria um ambiente onde o acesso ao shell seria forçado
> a dois métodos de autenticação, unicamente, seria necessário ter a
> chave e a senha de usuário
>
> é bem interessante isso, mas pelo menos nos meus testes isso não foi  
> possível...
>
> configurei o SSHD para autenticar com chave, e deixei setado
> PasswordAuthenticate como YES
> se eu tiver a chave, basta informar o nome de usuário (sem senha) que
> o acesso ao shell é permitido.... mas se eu não tiver a senha, a
> autenticação convencional é feita, pedindo nome de usuário e senha
>
> a minha idéia é forçar dois métodos de autenticação, se passar nos
> dois (chave + user/senha) aí sim é fornecido o acesso ao shell.
>
> abraços
>
>> Pelo que pude entender, mesmo que o carinha obtenha a chave ele não
>> conseguiria autenticar no servidor porque não tem conhecimento da
>> senha para a segunda autenticação (a não ser que tenha a chave mais a
>> senha). Não acompanhei essa discussão, mas parece ser isso.
>> -------------------------
>> Histórico: http://www.fug.com.br/historico/html/freebsd/
>> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
>>
>
>
>
> -- 
> ENIO RODRIGO MARCONCINI
> www.Enio.Pro.Br
> skype: eniorm
>
>> Administrador de Redes e Professor Universitário
>> Especialista em Redes de Computadores
>> Análise de Sistemas e Banco de Dados
>> Slackware Linux, OpenBSD e FreeBSD
>> Colecionador de Marcas de Cigarros: Trocas, Vendas e Compras
> -------------------------
> Histórico: http://www.fug.com.br/historico/html/freebsd/
> Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd

-------------- next part --------------
A non-text attachment was scrubbed...
Name: PGP.sig
Type: application/pgp-signature
Size: 194 bytes
Desc: This is a digitally signed message part
Url : http://www.fug.com.br/historico/html/freebsd/attachments/20090611/a40a1f78/attachment-0001.bin 


Mais detalhes sobre a lista de discussão freebsd