textaky v zasifrovanom kontajneri (luks loop-mount)
kontajner zalohujem (samozrejme zasifrovany)
heslo k nemu si pamatam a pre istotu ho mam zapisane na bezpecnom mieste
nevyhoda: aktivne sa s tym da pracovat iba na jednom pocitaci
Kdyz uz jsme se dostali k resenim, se kterymi se da pracovat jen z jednoho pocitace, tak se to da take resit hardwarove. Chcete zadat heslo (nebo username a heslo), najedete kurzorem do spravneho pole, na externim zarizeni zmacknete jednu klavesu a cele heslo (pripadne username, tabelator a heslo) se vyplni samo.
Jak na to?
Na pocitaci, kde chceme zadavat hesla, se pusti jako root:
inputattach --baud 19200 --ps2serkbd /dev/ttyUSB0
A na ten seriovy port (jak je videt z prikladu funguje to i se seriakem na USB) se pripoji jakykoliv HW, ktery tam ty hesla dokaze poslat. Vec o velikosti USB flash s par tlacitky a atmegou, arduino, raspberry pi, nebo treba stary laptop. Hesla se posilaji jako uhozy na PS2 klavesnici.
V pripade pouziti pocitace s Linuxem (coz muze byt klidne laptop 486DX2/66 z minuleho tisicileti) muzete vyuzit muj kod v pythonu:
http://punktopia.cz/klavesnicova-makra-poprve/ . Ovladani je trivialni - do souboru se jmenem, ktere je zaroven jeden znak z klavesnice (treba a, b, c, @, E, 6, *) zapisete, co se ma poslat na seriak. Zmacknete prislusnou klavesu a data se poslou. Takze staci nadepsat klavesy tim, k cemu to je heslo a pouzivat.
Pokud chcete, aby to bylo bezpecne, je potreba zarizeni s hesly nepripojovat do zadne site. Hesla tam pekne zadavat rucne a pokud takovych zarizeni mate vice, tak je i synchronizovat rucne (klavesnice, flashka, disketa ...).
Pro paranoiky: nepouzivejte null modem, ale spojte jen TX zarizeni, ktere vam poskytuje hesla s RX pocitace, kde hesla prijimate. Samozrejme na seriaku a ne na USB v pripade, ze pouzivate konvertor z USB.
Nahodna sestnactiznakova hesla pouze z pismen snadno vygenerujete takto:
for a in `seq 1 16`; do
x=$(( RANDOM % 52 ))
if [ "$x" -lt 26 ]; then ((x+=65)); else ((x+=97-26)); fi
perl -e "print chr($x);"
done
echo
Generujete samozrejme na heslari a ne na bezne pouzivanem pocitaci.