S/Key auf trash.net benutzen

S/Key ist ein Einmal-Passwort-System. Es ist dazu gedacht, dass man es benutzt, wenn man per telnet einloggen will. Ein bekanntes Szenario ist zB. dass jemand im Büro kein ssh-Login sondern nur ein telnet-Login machen kann.

Um einen eigenen Key zu generieren, gibt es zwei Möglichkeiten.

Falls Du nur manchmal per telnet einloggen musst und ansonsten ssh-Zugriff auf trash.net hast, kannst Du keyinit direkt auf der Shell starten (wenn Du mit ssh eingeloggt bist). keyinit fragt dich nach einer Passphrase:

% keyinit
Adding LOGIN:
Reminder - Only use this method if you are directly connected.
If you are using telnet or rlogin exit with no password and use keyinit -s.
Enter secret password:
Again secret password:

ID LOGIN s/key is 99 to17757
DEFY CLUB PRO NASH LACE SOFT

Am Besten nimmst Du hier einen ziemlich langen Satz (wie bei einen PGP Key zB.). Es ist wichtig, dass Du das keyinit über eine verschlüsselte Verbindung machst. Falls jemand deine Passphrase hat, kann er sich zu jederzeit unter deinem Login einloggen! Wie Du auch siehst, wurde bereits das erste Einmalpasswort ausgegeben. Doch dazu später mehr.

Falls Du nur unverschlüsselt auf trash.net zugreifen kannst, dann empfiehlt sich eine andere Methode. Du musst dazu aber die S/Key-Tools installiert haben (es gibt Versionen für Unix, MacOS und Windows). Das funktioniert dann so:

% keyinit -s
Updating LOGIN:
Old key: to17758
Reminder you need the 6 English words from the key command.
Enter sequence count from 1 to 9999: 100
Enter new key [default to17759]:
s/key 100 to 17759
s/key access password:

Nun musst Du auf einem sicheren Weg das key-Programm starten:

% key 100 to17759
Reminder - Do not use this program while logged in via telnet or rlogin.
Enter secret password: 
CURE MIKE BANE HIM RACY GORE

Du erhälst am Schluss 6 englische Wörter. Das ist das, was keyinit als "s/key access password:" bezeichnet. Kopiere diese Wörter also zum keyinit-Programm.

Mach' eine telnet Verbindung zu stinky.trash.net auf. Als Benutzername gibst Du skey mit einem leeren Passwort ein. Nun wirst Du nach einem Benutzernamen gefragt. Gib' hier deinen eigenen Benutzernamen ein:

% telnet stinky.trash.net
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.

stinky.trash.net

Hello and welcome to trash.net,
the stinkiest site on the net!

If you are new to trash.net, please read our policies
in http://www.trash.net on how to get an account.

~
login: skey
Password:
Last login: Sun Jul 15 19:45:27 from localhost
Username: LOGIN
s/key 97 fw13894
Password:

Auf deiner eigenen Maschine machst Du nun:

% key 97 fw13894
Enter passphrase :
WELD LIP ACTS ENDS ME HAAG

Die 6 englischen Wörter, die rausgekommen sind, kannst Du nun in die Password: Aufforderung schreiben oder reinkopieren.

Natürlich ist es auch möglich, mehr als nur ein Einmalpasswort zu generieren. Dazu rufst Du einfach key -n 25 97 fw13894 auf. Das generiert 25 einzelne Passwörter, die Du dann ausdrucken kannst. So hast Du eine Art Streichliste und kannst dich auch einloggen, wenn Du kein key-Programm installieren darfst.

Was aber ganz wichtig ist: key darfst Du nie über eine unsichere Verbindung benutzen. Ferner hindert S/Key auch niemandem am sniffen. Wenn Du also über S/Key eingeloggt bist, ist es besser, keine weiteren Passphrasen (wie zB. bei PGP oder bei einem Login auf einen weiteren Rechner) einzugeben.

• Falls Du deine Passwort-Streichliste mal verlieren solltest, dann kannst Du durch ein erneutes keyinit und wählen einer anderen Passphrase diese Streichliste ungültig machen.
• Bei vielen Linux-Distributionen ist donkey dabei. Das ist ein Ersatz für das key-Programm.