Martin Marques escribió:
Guimi wrote:
Martin Marques escribió:
Guimi wrote:
(...)
Tienes que llevar el fichero clave contigo, sí. Preferiblemente en un
USB, por lo cómodo que es.
Aunque no sea lo ideal, yo llevo la clave de un sistema y en ese
sistema tengo las claves del resto de sistemas. Todas las claves con
contraseña, claro.
Bueno, pero si puedo poner un keylogger, también puedo estar chupando
los archivos de los dispositivos que se conecten a los puertos USB (ni
que hablar de cosas importantes que pueden haber ahí aparte de las
claves privadas).
Entonces, tengo tu clave privada, y con el keylogger tu passfrase y a
que servidor te conectaste. :-)
Remotisimamente va a pasar eso, pero se puede. :-)
Faltaba la evidente: Cambia tu contraseña al menos una vez por década.
Si me voy de viaje y sé que puedo depender de lugares de poca confianza
cambio expresamente la clave antes de comenzar y al terminar.
Si perdiese mi USB alguien tendría que:
0.- saber algo de informática además de encender el guin2
1.- conocer / adivinar mi contraseña de esa clave
2.- conocer / adivinar para que sistema se utiliza
3.- entrar en el sistema para buscar las otras claves (fácil) y para
cada una de ellas repetir 1 y 2 (y no, la contraseña no es la misma
para todas las claves).
Otras opciones que se me ocurren...
Se puede hacer lo mismo poniendo las claves en un servidor privado de
ftp sobre ssl, que tampoco es una opción nefasta o, si te quieres
arriesgar, colgarla en una parte privada de tu https (esto me da menos
confianza).
Tunnel VPN, con ingreso por pagina https (tipo road warrior).
Esto no creo conocerlo. Investigaré.
Ya puestos, conozco gente que se la ha enviado a su correo-e y cuando
la necesita conecta a su webmail... si al menos su cuenta de correo
fuese privada (no gmail o similares) y el webmail funcionase sobre
https...
Bueno, me alegra no ser el único que conoce ese tipo de usuarios. ;-)
Y peores... X-D
Para una empresa creo que lo más cómodo y menos problemático es darles
a los usuarios un USB con el fichero clave (siempre con contraseña,
insisto). Se puede adjuntar el PuTTY en el mismo USB, ya puestos.
Si la empresa maneja información sensible, no debería permitir accesos
desde fuera de la red local. Esto es, obviamente, IMHO.
Esto muchas veces es inevitable.
Pero para eso están los permisos de usuario :-)
Saludos
Güimi
http://guimi.net
--
Por el bien de todos respetemos las normas de la lista:
http://wiki.debian.org/NormasLista
--
To UNSUBSCRIBE, email to [EMAIL PROTECTED]
with a subject of "unsubscribe". Trouble? Contact [EMAIL PROTECTED]
