/170 schrieb am 28. November 2003 13:04
> wieso werden für so wichtige Server keine TANs genommen und jedes
> Login per SMS bestätigt?
Passwortwechsel automatisch nach jedem Login (sollte irgendwie
entsprechend hinzupatchen sein), Passwort =
sha1sum(Zaehler++."secret"). Dann hast Du jedesmal ein neues
Passwort, mußt Dir aber natürlich den Zaehlerstand und Secret merken
und auf Client-Seite ein sha1sum haben. Nicht ganz toll ist auch, daß
"secret" natürlich im Klartext auf dem Server liegen muß. Da das aber
nur root/login/PAM lesen können muß, egal.
Alternativ gibt's diverse Zeroknowledge-Verfahren (Kette von sha1sums
generieren, erstes zu benutzende Paßwort ist letzte sha1sum, jeweils
nächstes die sha1sum, die auf das "alte" Paßwort geführt hat - dann
weiß der Server gar nichts :-).
> wieso werden für so wichtige Server keine TANs genommen und jedes
> Login per SMS bestätigt?
Passwortwechsel automatisch nach jedem Login (sollte irgendwie
entsprechend hinzupatchen sein), Passwort =
sha1sum(Zaehler++."secret"). Dann hast Du jedesmal ein neues
Passwort, mußt Dir aber natürlich den Zaehlerstand und Secret merken
und auf Client-Seite ein sha1sum haben. Nicht ganz toll ist auch, daß
"secret" natürlich im Klartext auf dem Server liegen muß. Da das aber
nur root/login/PAM lesen können muß, egal.
Alternativ gibt's diverse Zeroknowledge-Verfahren (Kette von sha1sums
generieren, erstes zu benutzende Paßwort ist letzte sha1sum, jeweils
nächstes die sha1sum, die auf das "alte" Paßwort geführt hat - dann
weiß der Server gar nichts :-).