[lug-ld] Treffen Dezember

Michael Diederich michael.diederich at gmail.com
Sa Nov 22 11:16:53 CET 2014


Hallo,

2014-11-22 8:57 GMT+01:00 Christoph Maya <christoph.maya at gmail.com>:

>
> Wenn Ihr wollt kann ich einen kleinen Vortrag über *pwdhash* halten.
> Dabei geht es um One-Time-Passwords je Internetseite.
>

ich habe das jetzt nur kurz überflogen, aber one-time-passwords sind doch
etwas anderes. Bei One-Time-Passwords wird z.B. ein Token o.ä. verlangt,
also ein Passwort welches nur einmal und nur jetzt funktioniert. Es gibt
Implementationen für SSH (als PAM Modul:
https://wiki.archlinux.org/index.php/One_Time_PassWord und
https://www.digitalocean.com/community/tutorials/install-and-use-otpw) und
auch für Webseiten gibt es meines Wissens nach Bibliotheken.

pwdhash nimmt ein Passwort und hasht es, bevor es an die Webseite
übermittelt wird. Im Endeffekt wird das dazuführen, dass du das selbe
Passwort auf unterschiedlichen Seiten wiederverwenden wirst, weil die
Implementierung dir suggeriert, das Addon wird es schon absichern.

Ich würde dir lieber vorschlagen, KeePass mit entsprechender
Browserintegration (KeePassHTTP) zu verwenden. Es kann ebenfalls Passwörter
generieren, diese sind aber deutlich länger, anhand individueller Regeln
erzeugt[1] und werden auch automatisch an den Browser übermittelt und in
den entsprechenden Feldern befüllt.

[1] = https://xkcd.com/936/ - Es gibt ein Plugin mit dem Namen "Readable
Passphrase Plugin" welches ein langes aber gut lesbares Passwort aus
mehreren Wörtern erzeugt, also eine Passphrase.

Viele Grüße,

Michael Diederich

P.S.: Mich würde interessieren, wie ihr eure Server verwaltet?
Sicherheitsupdates immer per Hand installieren? Verwaltung iptables?
-------------- nächster Teil --------------
Ein Dateianhang mit HTML-Daten wurde abgetrennt...
URL: http://lists.lug-ld.de/mailman/private/lug-ld/attachments/20141122/00a753c5/attachment.htm