Головна

одноразові паролі

  1.  Передай іншому: Захисти свої паролі

FreeBSD використовує для одноразових паролів OPIE (One-time Passwords In Everything). OPIE за замовчуванням використовує MD5.

Є три різних види паролів, про які ми поговоримо нижче. Перший вид це ваш звичайний пароль UNIX або пароль Kerberos; ми будемо називати його '' пароль UNIX ''. Другий вид це одноразовий пароль, згенерований програмою OPIE opiekey (1) і приймається командою opiepasswd (1) і в запрошенні login; ми будемо називати їх '' одноразовими паролями ''. Останній вид паролів це захищені паролі, які ви передаєте програмам opiekey (і іноді opiepasswd), і які ці програми використовують для створення одноразових паролів; ми будемо називати його '' захищеними паролями '' або просто '' паролями ''.

Захищений пароль не має ніякого відношення до вашого паролю UNIX; вони можуть бути однаковими, але це не рекомендується. Захищені паролі OPIE не обмежені 8-ю символами, як старі UNIX паролі1, вони можуть бути настільки довгими, наскільки ви захочете. Дуже часто використовуються паролі довжиною в шість або сім символів. Здебільшого система OPIE працює повністю незалежно від системи паролів UNIX.

Крім паролів, є два інших виду даних, важливих для OPIE. Перший, відомий як '' seed '' або '' ключ '', складається з двох букв і п'яти цифр. Інший, званий '' лічильником циклу '', це номер від 1 до 100. OPIE створює одноразовий пароль, поєднуючи ключ і захищений пароль, а потім застосовуючи MD4 стільки раз, скільки вказано лічильником циклу і видає результат у вигляді шести коротких слів англійською. Ці шість слів англійською і є ваш одноразовий пароль. Система аутентифікації (як правило PAM) зберігає останній використаний одноразовий пароль, і користувач аутентифицирующей якщо хеш вводиться користувачем пароля збігається з попереднім паролем. Оскільки використовується односторонній хеш, неможливо згенерувати наступний одноразовий пароль якщо отриманий попередній; лічильник циклу зменшується після кожного успішного входу для підтримки синхронізації користувача з програмою login. Коли лічильник циклу зменшується до 1, набір OPIE повинен бути переініціалізірован.

У кожній з обговорюваних нижче систем задіяні три програми. Програма opiekey отримує лічильник циклу, ключ і захищений пароль і створює одноразовий пароль або послідовний список одноразових паролів. Програма opiepasswd використовується для ініціалізації OPIE відповідно, і для зміни паролів, лічильників циклу, або ключів; вона приймає захищений пароль або лічильник циклу, ключ і одноразовий пароль. Програма opieinfo перевіряє відповідний файл (/ etc / opiekeys) і друкує поточний лічильник циклу і ключ викликає користувача.

Ми розглянемо чотири види операцій. Перша це використання opiepasswd через захищене з'єднання для початкового налаштування системи одноразових паролів, або для зміни пароля або ключа. Друга операція це використання в тих же цілях opiepasswd через незахищене з'єднання, в поєднанні з opiekey через захищене з'єднання. Третя це використання opiekey для входу через незахищене з'єднання. Четверта це використання opiekey для генерації набору ключів, які можуть бути записані або роздруковані для з'єднання з місця, де захищене з'єднання недоступне.



 DES, MD5, і шифрування |  Незахищена установка з'єднання

 Вступ |  Обліковий запис суперкористувача |  Приклад 13-1. Додавання користувача в FreeBSD |  обмеження користувачів |  Короткий опис |  Вступ |  захист FreeBSD |  Захист ядра, raw пристроїв і файлових систем |  атаки DoS |  Проблеми, пов'язані з доступом до Kerberos і SSH |

© um.co.ua - учбові матеріали та реферати