1. OTP – OneTime Passwords
Diese Präsentation erklärt den Sinn von OTPs
zur Verbesserung der Security in Ihrer Firma
Fragen? koester@x-itec.net
Http://www.x-itec.net
V1.00 02/2011
2. Was ist OTP?
● OTPs sind Kennwörter, die man
tabellenartig generieren kann.
● Diese OTPs können in Unternehmen
benutzt werden, um die Sicherheit anhand
bestimmter Kriterien zu erhöhen. Nichts ist
schlimmer als ein Keylogger – und diesem
möchten wir keine Option geben, das
System zu infiltrieren. Es gibt noch andere
Methoden, hier bleiben wir bei den OTPs.
3. Kriterien für OTPs
● Kennwortwechsel alle 24 Stunden, für jeden
Tag gibt es also ein neues Passwort.
● Kennwortwechsel jede Stunde, für jede
Stunde des Tages ein neues Passwort.
● Weitere Regelnungen je nach
technologischen Möglichkeiten.
4. Erstellung von OTPs
● OTPs werden zB unter Linux wie folgt
erstellt:
– otp -w
1) rxoe-qrds
– 2) osgb-lcrc
– 3) ojzh-nfhw
– ...
– 50)
5. Security von OTPs
● Wenn sich der Zugang alle 24h oder jede
Stunde ändert, sind diese Kennwörter für die
Anwender leicht zu benutzen und sie bieten
trotzdem eine gute Sicherheit. Weitere
Möglichkeiten zum OTP Befehl siehe man
otp.
● Der beste Generator für Zufallswerte ist aus
meiner Sicht im Moment OpenSSL.
6. OpenSSL Kennwörter
● Kennwörter lassen sich also durch
OpenSSL erstellen, mit einem Script kann
man schnell eine Liste von Passwörtern
generieren.
● Ein OpenSSL Kennwort kann wie folgt
erstellt werden:
● openssl rand 15 -base64
– F02rs6+la3Q7TjaM6wvE
7. Anwendung von OTPs
● Übermitteln Sie die Passwortliste an Ihre
Mitarbeiter, verwenden Sie dazu
entsprechend sichere Technologien
(Fragen? Kontakt!)
● Integrieren Sie das OTP System in Ihre
Systemumgebung, basierend auf der von
Ihnen verwendeten Servertechnologie
(Fragen? Kontakt!)
● Ihre Sicherheit wurde von nun an schlagartig
erhöht.
8. Praxisbeispiel Kerberos
● In einer hoch sicheren Umgebung wird MIT
Kerberos eingesetzt. Es wird entschieden,
zu weiteren nicht genannten
Sicherheitsmerkmalen OTPs einzusetzen.
● Die Passwortlisten wurden erstellt und der
Administrator muss jetzt passend damit
arbeiten. Er schreibt ein Script um für den
jeweiligen Tag das Passwort zu bekommen
und ändert dann das Kennwort automatisch
ab.
9. Praxisbeispiel Kerberos
● Das folgende Script setzt das Kennwort je
nach Tag des Monats zB für den 24. wie
folgt bei einem Kerberos-Server:
● T=`date +"%d"`;P=`cat liste.txt|head -$T|tail -1|cut -d " " -f3`; kadmin.local -q
"change_password -pw $P BENUTZERNAME";
10. Sie haben es geschafft
Vielen Dank für Ihre Aufmerksamkeit.
Fragen?
--- Boris Köster
http://www.x-itec.net
X-ITEC IT-Consulting