هذا هو الأمر dacstoken الذي يمكن تشغيله في موفر الاستضافة المجاني OnWorks باستخدام إحدى محطات العمل المجانية المتعددة عبر الإنترنت مثل Ubuntu Online أو Fedora Online أو محاكي Windows عبر الإنترنت أو محاكي MAC OS عبر الإنترنت
برنامج:
اسم
dacstoken - إدارة كلمات المرور المستندة إلى التجزئة لمرة واحدة
موجز
com.dacstoken [خيارات dacsoptions[1]] [-كل] [-يتمركز NUM] [-عداد NUM] [-أرقام NUM]
[-إبطال | -يُمكَِن] [-hotp-نافذة NUM] [-ينكي نوع العنصر]
[[-مفتاح com.keyval] | [-ملف مفتاح اسم الملف] | [-موجه المفتاح]] [-الوضع وضع مكتب المدعي العام]
[- مفاتيح نوع العنصر]
[[دبوس بينفال] | [-ملف دبوس اسم الملف] | [-دبوس موجه]] [-القيود دبوس شارع]
[-رند] [-بذرة شارع] [-مسلسل شارع] [-totp-دلتا NUM] [-totp-الانجراف com.nwindows]
[-totp-التجزئة ALG]
[-totp-timestep ثوان] [-vfs vfs_uri] [المرجع المواصفات] [اسم المستخدم]
الوصف
هذا البرنامج جزء من DACS جناح.
إنّ com.dacstoken تدير المرافق DACS الحسابات المرتبطة بكلمة المرور لمرة واحدة (OTP)
أجهزة توليد (رموز) أو العملاء المعتمدين على البرامج. باستخدام خيارات سطر الأوامر، فإنه أيضا
يحسب قيم OTP. يمكن تجاوز معلمات حساب الرمز المميز، لكن الحسابات ليست متساوية
مطلوب.
يمكن توفير مصادقة قوية ثنائية العامل عندما توثيق dacs[2] تم تكوينه
لاستخدام local_token_authenticate[3] وحدة المصادقة أو متى com.dacstoken مستعمل ك
برنامج مستقل للتحقق من صحة كلمات المرور. كل من وضع كلمة المرور لمرة واحدة المستندة إلى HMAC
(HOTP)، استنادًا إلى عداد الأحداث والمحدد بواسطة RFC 4226[4]، والمرتكز على الزمان
وضع كلمة المرور لمرة واحدة (TOTP)، كما هو محدد بواسطة آخر IETF مشروع الإنترنت[5] اقتراح،
مدعمون. إضافي تشغيل وسائط[6] يسمى أوكرا (حلف قبل التحدي
خوارزميات)، الموصوفة في مسودة إنترنت IETF، غير مدعومة بشكل كامل حتى الآن.
ملاحظات
هذا الإصدار من com.dacstoken يتضمن العديد من التغييرات غير المتوافقة مع الإصدارات السابقة
مع الإصدار 1.4.24a والإصدارات السابقة. تعمل بعض إشارات سطر الأوامر بشكل مختلف
لقد تغير تنسيق ملف الحساب. إذا كنت قد استخدمت هذا الأمر في وقت سابق
الإصدارات، يرجى عمل نسخة احتياطية من ملف حساب الرمز المميز الخاص بك ومراجعة هذا الدليل
الصفحة بعناية قبل المتابعة (لاحظ -يتحول العلم[7] على وجه الخصوص).
مهم
لا يلزم وجود برامج مقدمة من البائع com.dacstoken لتزويد وظائفه. ال
الأجهزة المدعومة حاليًا لا تحتاج إلى أي تفاعل للتسجيل أو التكوين
مع البائعين و com.dacstoken هل ليس تفاعل مع الباعة الخوادم or تستخدم أي وقت
الملكية نظام البرمجيات. قد تكون هناك حاجة إلى برنامج يوفره البائع لأداء المهمة
ومع ذلك، التهيئة أو التكوين لأجهزة الرمز المميز الأخرى، و com.dacstoken هل
ولا تقدم لهم مثل هذا الدعم
يتوافق كل جهاز رمزي بشكل عام مع حساب واحد فقط تتم إدارته بواسطة
com.dacstoken، على الرغم من أن بعض البائعين ينتجون رموزًا يمكنها دعم حسابات متعددة.
لتلخيص هذه الأداة المساعدة:
· ينشئ ويدير DACS الحسابات المرتبطة بالعداد والقائمة على الوقت
كلمات المرور لمرة واحدة
· يوفر وظائف التحقق من الصحة والاختبار
· يوفر القدرة على مصادقة سطر الأوامر
حماية
فقط DACS يجب أن يكون المسؤول قادرًا على تشغيل هذا البرنامج بنجاح من
سطر الأوامر. لأن DACS مفاتيح وملفات التكوين ، بما في ذلك الملف المستخدم ل
حسابات المتجر ، يجب أن يقتصر على المسؤول ، وعادة ما يكون هذا هو
الحالة ، لكن المسؤول الدقيق سيحدد أذونات الملف لرفض الوصول إلى الكل
مستخدمين آخرين.
ملاحظات
إنّ dacs_token(8)[8] توفر خدمة الويب للمستخدمين خدمة ذاتية محدودة
وظيفة لتعيين أو إعادة تعيين رقم التعريف الشخصي لحسابهم ومزامنة الرمز المميز الخاص بهم. إنه أيضًا
لديه وضع العرض التوضيحي لتبسيط الاختبار والتقييم.
دبابيس (الحساب كلمات المرور)
A com.dacstoken يمكن أن يحتوي الحساب بشكل اختياري على رقم PIN (أي كلمة مرور) مرتبط به. ل
للمصادقة على مثل هذا الحساب، يجب على المستخدم تقديم كلمة المرور لمرة واحدة
بالرمز الدبوس. ال TOKEN_REQUIRES_PIN[9] يحدد توجيه التكوين
ما إذا كان يجب توفير رقم التعريف الشخصي عند إنشاء حساب أو استيراده؛ لا ينطبق في
بالتزامن مع -ديلبين العلم، حيث أن المسؤول فقط هو الذي يجب أن يكون قادرًا على الأداء
تلك الوظيفة.
يتم تخزين تجزئة رقم التعريف الشخصي في سجل الحساب بدلاً من رقم التعريف الشخصي نفسه. نفس الشيء
الطريقة التي يستخدمها com.dacspasswd(1)[10] و dacs_passwd(8)[11] مطبق، ويعتمد على ذلك
PASSWORD_DIGEST[12] و PASSWORD_SALT_PREFIX[13] التوجيهات سارية المفعول. لو
PASSWORD_DIGEST[12] تم تكوينه، ويتم استخدام هذه الخوارزمية، وإلا فسيتم وقت الترجمة
يتم استخدام الافتراضي (SHA1). إذا نسي المستخدم رقم التعريف الشخصي، فلا يمكن استرداد الرقم القديم
يجب إما حذفها أو تعيين واحدة جديدة.
تحتوي بعض الأجهزة المميزة على إمكانية إدخال رمز PIN بداخلها. يجب على المستخدم إدخال رقم التعريف الشخصي (PIN) فيه
الجهاز قبل الجهاز سوف ينبعث كلمة مرور لمرة واحدة. هذا "رقم التعريف الشخصي للجهاز" هو
مختلف تمامًا عن رقم التعريف الشخصي (PIN) للحساب الذي تتم إدارته بواسطة com.dacstoken، وهذا الدليل هو
المعنية فقط ب com.dacstoken دبوس. يجب دائمًا استخدام رقم التعريف الشخصي (PIN) الخاص بالجهاز عندما يكون ذلك ممكنًا؛
هيه com.dacstoken يوصى بشدة باستخدام رقم التعريف الشخصي (PIN) وهو مطلوب للمصادقة الثنائية
(ما لم يتم تطبيق عامل مصادقة إضافي بطريقة أخرى).
وبما أنه يُسمح فقط للمسؤول بتشغيل هذا الأمر، فلا يتم فرض أي قيود
على طول أو جودة أرقام التعريف الشخصية التي يقدمها المسؤول؛ رسالة تحذيرية
ومع ذلك، سيتم إصدارها إذا تم اعتبار كلمة المرور ضعيفة كما هو محدد بواسطة
PASSWORD_CONSTRAINTS[14] التوجيه.
مره واحده كلمات السر
يقوم كلا النوعين من أجهزة كلمة المرور لمرة واحدة بحساب قيمة كلمة المرور من خلال استخدام أداة آمنة
خوارزمية التجزئة ذات المفاتيح (RFC 2104[15]، FIPS 198[16]). في الطريقة المضادة، الجهاز
ويتشارك الخادم في مفتاح سري وقيمة عداد يتم تجزئتها للحصول على رقم رقمي
القيمة المعروضة في جذر معين مع عدد معين من الأرقام. ناجح
تتطلب المصادقة أن يقوم الجهاز والخادم بحساب كلمات المرور المطابقة. في كل مرة
ينتج الجهاز كلمة مرور، ويزيد العداد الخاص به. عندما يتلقى الخادم مطابقة
كلمة المرور، فإنه يزيد العداد الخاص به. لأنه من الممكن أن يصبح العدادان
غير متزامنة، فإن خوارزمية مطابقة الخادم ستسمح عادةً بكلمة مرور العميل
للوقوع ضمن "نافذة" من قيم العداد. الطريقة المعتمدة على الوقت متشابهة، وهي الطريقة الرئيسية
الفرق هو أن وقت يونكس الحالي (كما تم إرجاعه بواسطة الوقت (3)[17] مثلا).
تستخدم لإنشاء "نافذة الخطوة الزمنية" التي تعمل كقيمة عداد في الحساب
من التجزئة الآمنة. لأن ساعات الوقت الفعلي على الجهاز والخادم قد لا تكون كذلك
متزامنة بشكل كافٍ، يجب أن تسمح خوارزمية مطابقة الخادم أيضًا بخوارزمية العميل
كلمة المرور لتقع ضمن عدد من نوافذ الخطوات الزمنية لهذه الأجهزة.
حماية
قد يتم تعيين مفتاح سري دائم للرمز المميز (يُسمى أحيانًا بذرة OTP) من خلاله
الشركة المصنعة أو قد يكون المفتاح قابلاً للبرمجة. يتم استخدام هذا المفتاح السري بواسطة الرمز المميز
إجراء إنشاء كلمة المرور ومن المهم الحفاظ على خصوصيتها. إذا كان الرمز
غير قابل للبرمجة، ويتم الحصول على المفتاح من البائع (بالنسبة لرمز HOTP، عادةً
من خلال توفير الرقم التسلسلي للجهاز وأي ثلاث كلمات مرور متتالية). سجل
يجب الاحتفاظ بكل تعيين من الرقم التسلسلي إلى المفتاح السري في مكان آمن.
إذا كان المفتاح السري قابلاً للبرمجة، كما هو الحال مع عميل البرنامج، فهو كذلك
يشترط أن يكون على الأقل 128 بتات في الطول؛ جزء قليل من 160 بت موصى به. ال
يتم تمثيل المفتاح بسلسلة سداسية عشرية طويلة مكونة من 16 حرفًا (أو أكثر). ينبغي للمفتاح
يمكن الحصول عليها من مصدر جودة التشفير للبتات العشوائية. قد يكون بعض العملاء
قادرة على توليد مفتاح مناسب، ولكن يمكنك استخدامه com.dacsexpr(1)[18]:
% dacsexpr -e "عشوائي (سلسلة، 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
نصيحه
يمكن استخدام الرموز المميزة لأغراض المصادقة بخلاف تسجيل الدخول عبر الكمبيوتر. ل
على سبيل المثال، من خلال توفير رقم الحساب ورقم التعريف الشخصي وقيمة الرمز المميز، يمكن للعملاء بسرعة
يمكن المصادقة عليها عبر الهاتف، مما يقلل أو يلغي الحاجة إلى تكاليف باهظة الثمن
الأسئلة الأمنية التي تستغرق وقتًا طويلاً.
تحتوي أجهزة وتطبيقات كلمة المرور لمرة واحدة على المعلمات التشغيلية التالية.
تحدد هذه المعلمات تسلسل كلمة المرور الذي تم إنشاؤه. بعض التشغيلية
قد تكون المعلمات ثابتة (وفقًا للمعايير ذات الصلة أو بسبب التنفيذ)، بينما
والبعض الآخر قد يكون قابلاً للتكوين جزئيًا أو كليًا بواسطة المستخدم. يرجى الرجوع إلى
المراجع ووثائق الشركات المصنعة للحصول على التفاصيل.
قاعدة
الجذر الذي يتم عرض كلمات المرور فيه.
مواجهة
بالنسبة لوضع HOTP فقط، قيمة العداد الحالية.
الأرقام
عدد الأرقام في كل كلمة مرور لمرة واحدة.
مفتاح
المفتاح السري (بذرة OTP).
رقم متسلسل
معرف أو اسم فريد للجهاز.
حجم الخطوة الزمنية
بالنسبة لوضع TOTP فقط، عرض كل فاصل زمني بالثواني. نفس كلمة المرور
سيتم إنشاؤها خلال فترة زمنية معينة؛ أي أن هذا هو "العمر" أو الصلاحية
فترة كل كلمة مرور TOTP.
بالإضافة إلى هذه المعلمات، com.dacstoken يستخدم عدة حسابات لكل حساب (أي لكل جهاز)
المعلمات:
قبول النافذة
عند التحقق من صحة كلمة مرور HOTP، يجب تحديد الحد الأقصى لعدد كلمات المرور التي يجب مراعاتها بعد
كلمة المرور المتوقعة.
انجراف
بالنسبة لوضع TOTP فقط، عدد الثواني التي يمكن خلالها ضبط ساعة الخادم
للأمام أو للخلف لمزامنته بشكل أفضل مع الجهاز. يستخدم هذا ل
التعويض عن الرموز المميزة أو برامج العميل التي لا تتم مزامنة ساعاتها بشكل جيد معها
الخادم.
نافذة الانجراف
بالنسبة لوضع TOTP فقط، ولكنه مشابه لنافذة القبول، الحد الأقصى لعدد
فترات زمنية (كل حجم خطوة زمنية) للبحث للأمام والخلف عند التحقق من الصحة
مقابل كلمة مرور معينة.
sync-otps
بالنسبة لوضع HOTP فقط، عدد كلمات المرور المتتالية المطلوبة لمرة واحدة
مزامنة الحساب مع الجهاز.
اسم المستخدم
اسم ال DACS حساب مرتبط بالجهاز.
تتمتع المصادقة المستندة إلى أجهزة كلمة المرور لمرة واحدة بالمزايا التالية:
· في كل مرة يقوم فيها المستخدم بالمصادقة، سيتم إنشاء كلمة مرور مختلفة (مع ارتفاع
احتمالا)؛ وبالتالي لا يمكن للمستخدمين تدوين "كلمة المرور" لأن كلمة المرور موجودة
تغيير دائما؛ لا يمكن للمستخدمين أن ينسوا كلمة المرور الخاصة بهم؛
· بمجرد استخدامها، يتم "استهلاك" كلمة مرور وضع HOTP على الفور ومن غير المحتمل استخدامها
مرة أخرى لفترة طويلة. مع معلمات التكوين المناسبة، وكلمة مرور وضع TOTP
"تنتهي صلاحيته" تلقائيًا خلال فترة زمنية قصيرة نسبيًا ومن غير المرجح أن تنتهي صلاحيتها
تستخدم مرة أخرى لفترة طويلة.
· إذا لم تكن هناك حاجة لتصحيح انحراف الساعة، فيمكن أن يكون حساب وضع TOTP للقراءة فقط
عملية؛
· لأنه من غير المرجح أن تكون كلمة المرور عبارة عن رقم أو سلسلة يسهل تخمينها، فيجب أن تكون كذلك
أن تكون أقوى من معظم كلمات المرور التي يحددها المستخدم؛
· يمكن أن يكون رمز HOTP أساسًا لطريقة مصادقة متبادلة ("ثنائية الاتجاه")؛ ال
يعرض الخادم للمستخدم كلمة المرور التالية للرمز المميز الخاص به لتأكيد هويته (مع كليهما
تقوم الأطراف بتقدم عداداتها)، ثم يُظهر العميل للخادم كلمة المرور التالية
للتأكد من هويته؛
· في حالة تثبيت برنامج شم على جهاز الكمبيوتر الخاص بالمستخدم ، فإن كلمة المرور التي تم استنشاقها لا تفعل ذلك
هل المهاجم أي خير ما لم رجل في-متوسطي مهاجمة[19] ممكن؛ منح N
كلمات المرور المتتالية لا يزال من الصعب جدًا حساب كلمة المرور N + 1 بدون
معرفة المفتاح السري؛
· يصعب على المستخدمين مشاركة الحساب (على الرغم من أن المستخدمين قد يفعلون ذلك في بعض الأحيان
اعتبر هذا بمثابة إزعاج)؛
· اذا كان com.dacstoken يتم تعيين رقم التعريف الشخصي (PIN) لأحد الحسابات ويحصل المهاجم على رقم الحساب
الرمز المميز، لا يزال من الصعب على المهاجم المصادقة دون معرفة رقم التعريف الشخصي؛
· الطريقة السريعة والفعالة لتعطيل الحساب هي ببساطة الاستيلاء على ملف
رمز الجهاز (على سبيل المثال، إذا تم فصل الموظف)، على الرغم من إمكانية تعطيل الحساب عن طريق
هذا البرنامج أو باستخدام إبطال الإدارية[20].
· في حالة وجود برنامج عميل يعمل على جهاز محمول، مثل الهاتف أو المساعد الرقمي الشخصي،
ويحمل المستخدمون الجهاز معهم بالفعل؛ عملاء الحرة متاحة، لذلك هناك
قد لا تكون هناك تكلفة إضافية (لاحظ أن الأجهزة المحمولة قد لا تقدم نفس التكلفة
مقاومة التلاعب، والمتانة، وسرية المفاتيح، ودقة الساعة، وما إلى ذلك من رمز الجهاز).
تحتوي أجهزة كلمة المرور لمرة واحدة على العيوب المحتملة التالية:
· هناك تكلفة لمرة واحدة لرمز الجهاز (اعتمادًا على حجم الشراء،
يمكنك أن تتوقع أن تدفع ما بين 10 إلى 100 دولار أمريكي لكل منهما)، وهناك إمكانية الاضطرار إلى ذلك
استبدل الرمز المفقود أو المكسور، أو بطارية الرمز المميز (تحتوي بعض الوحدات على
بطارية غير قابلة للاستبدال، مما يجعلها يمكن التخلص منها بعد بضع سنوات)؛
· التكوين الأولي أصعب إلى حد ما من المصادقة الأخرى
وسيتعين على المستخدمين غير المعتادين على الأجهزة أن يتم إرشادهم بشأنها
استعمال؛
· على الرغم من أنها عادة ما تكون صغيرة جدًا (على سبيل المثال، 5 سم × 2 سم × 1 سم) ويمكن ربطها بها
سلسلة مفاتيح أو حبل قصير، أو الاحتفاظ بها في المحفظة، قد يشعر المستخدمون بالفزع من الاضطرار إلى حمل رمز مميز
حول معهم؛
· قد ينسى المستخدمون الاحتفاظ بالرمز المميز معهم أو يفقدون الرمز المميز؛
· من المحتمل أن يكون الجهاز المحمول (الذي يحتوي على برنامج عميل) هدفًا محتملاً للسرقة، وأكثر من ذلك
بدلاً من رمز الجهاز (ومن هنا تأتي الأهمية الإضافية لرقم التعريف الشخصي لهذا الجهاز)؛
· على عكس رمز الجهاز حيث يتم نسخ المفتاح إلى مكان يتعذر الوصول إليه ومقاوم للتلاعب
الذاكرة، فمن المرجح أن يكون المفتاح الذي تم تكوينه في عميل البرنامج قابلاً للقراءة من خلاله
المالك، مما يجعل مشاركة الحساب ممكنة؛
· قد يكون إدخال قيمة أولية مكونة من 40 حرفًا أو أطول في جهاز محمول أمرًا محبطًا
وعرضة للخطأ؛
· بمجرد قيام جهاز TOTP بإنشاء كلمة مرور، لا يمكن إنشاء كلمة مرور جديدة حتى
نافذة الخطوة الزمنية التالية، والتي تتطلب من المستخدم الانتظار لمدة 30 (أو ربما 60) ثانية (على سبيل المثال،
إذا حدث خطأ في الإدخال)؛
· يصعب قراءة بعض الأجهزة في ظروف الإضاءة المنخفضة؛ المستخدمين طول النظر الشيخوخي وهؤلاء
الذين يعانون من ضعف في الرؤية قد يجدون صعوبة في قراءة الشاشة.
الحسابات
الحسابات التي يديرها com.dacstoken منفصلة تمامًا عن الحسابات التي يستخدمها
local_passwd_authenticate[21] أو أي دولة أخرى DACS وحدة المصادقة.
يمكن دمج حسابات أجهزة HOTP وTOTP أو الاحتفاظ بها منفصلة. إذا الظاهرية
تم تحديد نوع عنصر مخزن الملفات auth_hotp_token، ويتم استخدامه فقط للحسابات المرتبطة
مع رموز HOTP. وبالمثل، إذا كان نوع عنصر مخزن الملفات الافتراضي auth_totp_token هو
تم تحديده، ويتم استخدامه فقط للحسابات المرتبطة برموز TOTP المميزة. إذا كان أي من نوعي العنصر كذلك
غير محدد، يتم الوصول إلى الحسابات من خلال DACS's مخزن الملفات الظاهري باستخدام نوع العنصر
auth_token. من المفترض أن أذونات الملفات في قواعد بيانات الحساب هي جميعها
يقتصر الوصول على المسؤول و local_token_authenticate.
إذا كانت الحسابات لنوعين الجهاز الخبرة ، لأن كل اسم مستخدم لـ
يجب أن تكون طريقة المصادقة فريدة من نوعها، وإذا كان لدى الفرد كلا النوعين من الرموز المميزة، فيجب عليه ذلك
يتم تعيين أسماء مستخدمين مختلفة. لذا، على سبيل المثال، إذا كان لدى Auggie رمز HOTP واحد وواحد
رمز TOTP، قد يتوافق الأول مع اسم المستخدم auggie-hotp والأخير قد يتوافق مع
أوجي-توب؛ قد يتضمن نموذج تسجيل الدخول إدخالاً في وضع الجهاز والذي من شأنه أن يسمح لـ Auggie
ببساطة اكتب "auggie" في حقل اسم المستخدم وJavaScript لإلحاق الملف تلقائيًا
اللاحقة المناسبة بناءً على وضع الجهاز المحدد. العيب الواضح لهذا
التكوين هو أنه يؤدي إلى نوعين مختلفين DACS هويات لنفس الفرد؛
يجب تذكر هذا إذا كانت هناك حاجة إلى قاعدة التحكم في الوصول لتحديد هوية أوجي
صراحة. إذا كان يجب تعيين كلا الرمزين إلى نفس الشيء DACS الهوية، يمكن لشرط المصادقة
قم بإزالة اللاحقة بعد المصادقة الناجحة، لكن المسؤول سيقوم بذلك بعد ذلك
بحاجة إلى الحذر من حالة وجود جهازي Auggie مختلفين، يستخدم كل منهما نوع جهاز مختلف.
تكوين كلا نوعي العناصر auth_hotp_token وauth_totp_token (أو أحدهما فقط
و auth_token) يبقي الحسابات منفصلة ويسمح باستخدام نفس اسم المستخدم
كلا النوعين من الأجهزة. وبالتالي يمكن أن يكون لدى Auggie سجل حساب بنفس الشيء
اسم المستخدم لكلا النوعين من الأجهزة. يتطلب هذا الأسلوب تحديد وضع الجهاز
عندما يتم طلب عملية بحيث يمكن استخدام نوع العنصر الصحيح؛ هذا يعني ذاك
يجب أن يعرف المستخدمون نوع الجهاز الذي يستخدمونه (ربما عن طريق وضع ملصق عليه).
الرجوع إلى التفاصيل الهامة بخصوص DACS الهويات[22].
إنّ -vfs يُستخدم لتكوين أو إعادة تكوين نوع عنصر auth_token.
المفاتيح التي تلبي الحد الأدنى لطول المفتاح فقط (16 بايت) يمكن تخزينها مع
معلومات الحساب (على سبيل المثال، مع -جلس or -يستورد). وفي سياقات أخرى، هذا هو الشرط
لا تفرض.
يتم تشفير المفتاح السري بواسطة com.dacstoken عندما يتم كتابته في ملف الحساب. ال
يحدد نوع عنصر مخزن الملفات الافتراضي auth_token_keys مفاتيح التشفير الخاصة به com.dacstoken
ليستخدم؛ ال -ينكي - مفاتيح العلامات تحدد البدائل (انظر داسكي(1)[23]). إذا
فقدت مفاتيح التشفير، والمفاتيح السرية غير قابلة للاسترداد عمليا.
مهم
إذا اكتشف أحد المهاجمين مفتاحًا سريًا، فسيقوم بإنشاء كلمات مرور قابلة للاستخدام دون امتلاكها
لن يكون الرمز صعبًا. بالنسبة لبعض الرموز المميزة للأجهزة على الأقل، يتم حرق المفتاح
في الجهاز ولا يمكن تغييره؛ في هذه الحالة، إذا تم تسريب مفتاح الجهاز
ينبغي تدميرها. في حالة فقدان الرمز المميز، يجب تعطيل الحساب المقابل.
في حالة عثور المهاجم على رمز مفقود أو اكتشاف مفتاح سري به رمز قوي
إن رقم التعريف الشخصي المرتبط بالحساب سيجعل من الصعب على المهاجم الحصول عليه
وصول.
مهم
· تم اختبار طريقة المصادقة هذه على منتجات OTP التالية:
· أوثينكس مفتاح 3600[24] رمز جهاز كلمة المرور لمرة واحدة (HOTP)؛
· فيتيان التكنولوجيا [25] أجهزة كلمة المرور لمرة واحدة OTP C100 وOTP C200
الرموز المقدمة من هايبر سيكو معلومات أنظمة[26]; و
· حلف رمز[27] تطبيق برمجي من تصميم آرتشي كوبز، والذي ينفذ كليهما
HOTP وTOTP على بود لمس. اتصال. صلة، اي فون، باد[28].
· تقنيات فيتيان iOATH لايت[29] تطبيق برنامج HOTP لجهاز iPod
اللمس، والآيفون، والآيباد.
الشركات المصنعة الأخرى المهتمة بالحصول على دعم منتجاتها من خلال DACS .
مرحبا بكم في الاتصال Dss.
· الصورة المرفقة[30]: Feitian OTP C200، iPod Touch مع تطبيق OATH Token، Authenex A-Key
3600 (في اتجاه عقارب الساعة من أعلى اليسار)
· على الرغم من أن هذا التنفيذ يجب أن يعمل مع المنتجات المماثلة والمتوافقة فقط
هذه المنتجات مدعومة رسميًا من قبل DACS.
· يمكن شراء رموز الأجهزة مباشرة من البائعين.
· أي مشاكل مع استخدام الرموز المميزة للمصادقة من خلال DACS ليسوا
مسؤولية بائع الرمز المميز.
استيراد ألاستراد والتصدير OTP code الحسابات
يمكن تحميل أو تفريغ أوصاف الحسابات والرموز المميزة الخاصة بها (راجع ملف -يستورد
-يصدّر الأعلام). يؤدي ذلك إلى تبسيط عملية التزويد المجمع والنسخ الاحتياطي وإمكانية النقل. ال
تتم كتابة معلومات الحساب بتنسيق XML بسيط خاص بالتطبيق (تقريبًا).
الشكل الذي يفهمه com.dacstoken يتكون من عنصر جذر ("otp_tokens")، متبوعًا بـ
صفر أو أكثر من عناصر "otp_token"، واحد في كل سطر، كل منها مطلوب واختياري
السمات (الموصوفة أدناه). يجب حذف إعلان XML. المسافة البيضاء الرائدة و
يتم تجاهل الأسطر الفارغة، كما هو الحال مع تعليقات XML ذات السطر الواحد. بالإضافة إلى ذلك، الأسطر التي تحتوي على "#"
حيث يتم تجاهل الحرف الأول الذي لا يحتوي على مسافة بيضاء. السمات الاختيارية التي ليست كذلك
يتم تعيين القيم الافتراضية الحالية. خوارزمية الملخص الافتراضية هي SHA1. سمة قصيرة
يتم استخدام الأسماء لتوفير المساحة. السمات غير المعترف بها، والسمات التي لا علاقة لها بـ
يتم تجاهل وضع الجهاز. أحرف الاقتباس المفردة أو المزدوجة (أو كليهما) ضمن سمة XML
يجب استبدال القيم بمرجع الكيان المقابل ("'" و """،
على التوالي)، كما يجب استخدام الأحرف "<" (أقل من) و"&" (علامة الضم). ">" (أكبر
من) يمكن استبدال الحرف اختياريًا بتسلسل ">"، ولكن لا يوجد كيان آخر
يتم التعرف على المراجع.
السمات المعترف بها هي:
· ب:
قاعدة
- الجذر لقيمة OTP
[خياري:
10 (افتراضي)،
16 أو 32]
· ج:
مواجهة
- قيمة العداد الحالية لـ HOTP، بالنظام الست عشري إذا كانت مسبوقة
بواسطة "0x" (أو "0X")، أو العلامة العشرية بخلاف ذلك
[خياري:
الافتراضي هو 0]
· د:
OTP code جهاز طريقة
- "ج" (لـ HOTP)
أو "t" (لـ TOTP)
[مطلوب]
· الاسم المميز:
اسم الملخص
- إحدى خوارزميات التجزئة الآمنة
[خياري:
SHA1 (افتراضي)،
شا224، شا256،
SHA384، SHA512]
· دكتور:
الانجراف على مدار الساعة
- ضبط الساعة بالثواني لـ TOTP
[اختياري]
· إيك:
مفتاح مشفر
- مفتاح سري مشفر، مشفر بالقاعدة 64
[مطلوب:
سجلات حساب OTP فقط]
· ar:
حالة التمكين
-- 1 للتمكين،
0 للمعاقين
[مطلوب]
· ك:
مفتاح نص عادي
- مفتاح سري غير مشفر
[مطلوب]
· لو:
اخر تحديث
- وقت Unix لآخر تحديث للسجل
[اختياري: الافتراضي هو الوقت الحالي]
· اختصار الثاني:
ndigits
- عدد الأرقام لقيمة OTP
[خياري:
الافتراضي هو 6 ل هوتب،
8 لـ TOTP]
· ص:
نص عادي-PIN
- قيمة رقم التعريف الشخصي (PIN) للنص العادي للحساب
[مطلوب:
ما لم يكن الرقم الهيدروجيني موجودًا،
للاستيراد فقط]
· الرقم الهيدروجيني:
رقم التعريف الشخصي المجزأ
- قيمة رقم التعريف الشخصي المجزأة للحساب
[خياري:
ولدت من قبل com.dacstoken
لملفات التصدير وحساب OTP فقط]
· س:
رقم سري
- سلسلة معرف فريدة للجهاز
[مطلوب]
· الخبر:
خطوة زمنية
- قيمة الخطوة الزمنية، بالثواني، لـ TOTP
[خياري:
الافتراضي هو 30]
· أنت:
اسم المستخدم
-- صالحة DACS اسم المستخدم المرتبط بهذا الحساب
[مطلوب]
يصف المثال التالي حسابين يمكن إنشاؤهما باستخدام -يستورد العلم:
حماية
نظرًا لأن السجلات المستوردة تشتمل على المفاتيح السرية غير المشفرة لأجهزة OTP، فإن
يجب أن يظل الملف الذي تم تصديره مشفرًا (على سبيل المثال، باستخدام بينسل) أو على الأقل
أذونات الملف المناسبة.
ملاحظات
يجري حاليًا تطوير تنسيق قياسي لتوفير أجهزة OTP. قد يكون هذا التنسيق
يفهمها الإصدار المستقبلي من com.dacstokenأو قد تتم كتابة أداة تحويل.
من المرجح أن يكون التنسيق القياسي أكثر تعقيدًا من تنسيق DACS تنسيق.
OPTIONS
بالإضافة إلى المعيار خيارات dacsoptions[1]، قائمة طويلة من أعلام سطر الأوامر هي
معروف. عندما اسم المستخدم يتم إعطاء القيم الافتراضية المرتبطة بهذا الحساب
المستخدمة، أو يتم استخدام الإعدادات الافتراضية الموصى بها أو الخاصة بالتنفيذ. هذه الافتراضية
يمكن عادةً تجاوز القيم في سطر الأوامر. بعض الأعلام مسموح بها فقط مع أ
وضع رمز معين (على سبيل المثال، -عداد, -totp-العرض) ومظهرهم يدل على هذا الوضع،
جعل -الوضع العلم غير ضروري؛ الأعلام الأخرى مستقلة عن الوضع (على سبيل المثال، -حذف,
-يُمكَِن). من الخطأ استخدام مجموعة أعلام غير متوافقة بشكل متبادل. الأعلام التي
لا معنى لها مع العملية المحددة يتم تجاهلها، على الرغم من أنها لا تزال تشير إلى الوضع.
القيم السداسية العشرية غير حساسة لحالة الأحرف. إذا كانت قيمة العداد مطلوبة ولكنها غير محددة
(على سبيل المثال، عند إنشاء حساب)، يتم استخدام قيمة عداد أولية وهي صفر.
إنّ المرجع المواصفات يحدد العملية التي سيتم تنفيذها، مع صفر أو أكثر تغيير
الأعلام. لو المرجع المواصفات مفقود، ال -قائمة يتم تنفيذ العملية. ان المرجع المواصفات هي واحدة من
التالية:
-عث قيمة مكتب المدعي العام
هذا العلم مثل -تحقق[31]، باستثناء:
· أ اسم المستخدم مطلوب، حيث يتم الحصول على كافة المعلمات (مثل المفتاح)؛
· إذا كان الحساب يحتوي على رقم التعريف الشخصي (PIN)، فيجب توفيره؛
· إذا كان الحساب خاصًا برمز HOTP، فسيتم تحديث العداد في حالة المصادقة
ناجح.
تشير حالة الخروج صفر إلى نجاح المصادقة، في حين تشير أي قيمة أخرى
يعني فشل المصادقة.
-يتحول اسم الملف
قم بتحميل ملف حساب الرمز المميز بتنسيق أقدم (قبل الإصدار 1.4.25) من اسم الملف ("-"
يعني القراءة من stdin)، وتحويله إلى التنسيق الأحدث، وكتابته إلى stdout (مثل
by -يصدّر). تم إهمال هذه العلامة وستتم إزالة هذه الإمكانية في المستقبل
الافراج عن DACS.
-يزيد
إنشاء حساب ل اسم المستخدم، والتي يجب ألا تكون موجودة بالفعل. ومن جوانب أخرى ذلك
يعمل مثل -جلس[32]. عند إنشاء حساب جديد، -مسلسل مطلوب و -مفتاح is
ضمني. إذا لا -يُمكَِن يتم توفير العلم عند إنشاء حساب، -إبطال هو ضمني.
إذا كانت الإجابة بلا -عداد يتم توفير العلم، ويتم استخدام القيمة الافتراضية صفر. إذا كانت إحدى علامات PIN موجودة
حاليًا، سيتم تعيين رقم التعريف الشخصي المحدد للحساب، وإلا فلن يتم تعيين الحساب
لديك رقم تعريف شخصي (أو لن يتم تغيير رقم التعريف الشخصي الحالي).
-حاضِر
عرض عامل الحركة الحالي (أي قيمة العداد لـ HOTP أو الفاصل الزمني
قيمة TOTP) وOTP المتوقع لـ اسم المستخدم. بالنسبة لـ HOTP، العداد متقدم. الجميع
يتم أخذ المعلمات من الحساب.
-حذف
حذف الحساب لـ اسم المستخدم. المفتاح السري للجهاز وغيره من العمليات
سيتم فقدان المعلمات.
-ديلبين
احذف رقم التعريف الشخصي (PIN)، إن وجد، الموجود في حساب اسم المستخدم، وترك الحساب بدون
دبوس.
-يصدّر
كتابة معلومات عن جميع الحسابات، أو حساب واحد فقط إذا اسم المستخدم يعطى ل
com.stdout. ومع ذلك، إذا تم تحديد الوضع، فسيتم تحديد الحسابات التي لها هذا الوضع فقط
مكتوب. يمكن إعادة تحميل هذه المعلومات باستخدام -يستورد or -استيراد واستبدال. الإخراج
يجب أن يتم تخزينه في نموذج مشفر، أو على الأقل الحصول على أذونات الملف الخاصة به
تعيين بشكل مناسب. على سبيل المثال:
% dacstoken -uj EXAMPLE -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
لاحقًا، قد تفعل شيئًا مثل:
% opensl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj مثال -استيراد -
-h
-مساعدة
اعرض رسالة المساعدة واخرج.
-hotp-show NUM
العرض NUM كلمات مرور HOTP متتالية من قيمة عداد ومفتاح محددين. ال
-عداد يمكن استخدام العلامة لتحديد قيمة العداد الأولية. يمكن أن يكون المفتاح
المحدد باستخدام -مفتاح, -ملف مفتاح أو -موجه المفتاح. اذا كان اسم المستخدم يتم توفير،
يتم الحصول على قيمة العداد الأولية والمفتاح من حساب HOTP الخاص بالمستخدم، ما لم يكن أي منهما
يتم تجاوز القيمة في سطر الأوامر؛ قيمة العداد المخزنة في الحساب ليست كذلك
معدل. هذا مخصص بشكل أساسي لأغراض التصحيح.
-يستورد اسم الملف
-استيراد واستبدال اسم الملف
تحميل معلومات الحساب والرمز المميز من اسم الملف؛ إذا اسم الملف هو "-"، تتم قراءة stdin.
إذا تم تحديد الوضع، فسيتم قراءة الحسابات التي لها هذا الوضع فقط. مع -يستورد أنه
خطأ إذا كان الحساب المستورد موجودًا بالفعل، وتتوقف المعالجة؛ -استيراد واستبدال
سيتم استبدال الحساب الحالي بالبيانات المستوردة.
-l
-قائمة
لونغ
If اسم المستخدم يتم توفيرها وعرض معلومات حول الحساب المقابل؛ إذا
-مسلسل يتم إعطاء علامة، وعرض معلومات حول الحساب بالرقم التسلسلي المحدد
رقم؛ وإلا قم بإدراج كافة الحسابات. إذا -الوضع يتم إعطاء العلم في أي من هذه الحالات،
ومع ذلك، قم بإدراج الحسابات التي لها وضع التشغيل المحدد فقط. اذا هذا
يتم تكرار العلم، أو مع لونغ العلم، يتم عرض المزيد من التفاصيل: نوع الجهاز،
حالة الحساب، الرقم التسلسلي للجهاز، قيمة العداد (لـ HOTP)، قيمة انجراف الساعة (لـ
TOTP)، سواء كان الحساب يحتوي على رقم تعريف شخصي (PIN) (يُشار إليه بالرمز "+" أو "-") أم لا، و
وقت وتاريخ آخر تعديل للحساب.
-إعادة الجديد المستخدم
إعادة تسمية الحساب الحالي ل اسم المستخدم أن تكون الجديد المستخدم، وتعديل الجديد
الحساب باستخدام وسيطات سطر الأوامر (كما هو الحال مع -جلس[32]). لأن هذا يتطلب خطوتين
التي لا يتم إجراؤها بشكل تلقائي، في حالة حدوث خطأ فمن الممكن للحساب الجديد أن يفعل ذلك
يتم إنشاؤه ويظل الحساب القديم موجودًا.
-جلس
إنّ -جلس يتم استخدام العلامة لتعديل الحساب الحالي لـ اسم المستخدم على أساس واحد أو أكثر
وسيطات التعديل (-يتمركز, -عداد, -أرقام, -إبطال or -يُمكَِن, -مفتاح (أو -ملف مفتاح
or -موجه المفتاح), دبوس (أو -ملف دبوس or -دبوس موجه)، أو -مسلسل). يمكن أن يكون الوضع أيضًا
تغيرت عن طريق تحديد -الوضع، ولكن المعلمات الخاصة بالوضع مرتبطة بالحساب
سيتم فقدانه (على سبيل المثال، سيتم حذف قيمة العداد الحالية إذا كان حساب HOTP
سيتم تغييره إلى حساب TOTP) والمعلمات العامة (مثل الرقم التسلسلي).
يتم الاحتفاظ بها ما لم يتم تجاوزها في سطر الأوامر.
-مزامنة قائمة كلمة المرور
في وضع HOTP، يحاول هذا مزامنة الخادم مع الرمز المميز اسم المستخدم.
قائمة كلمة المرور عبارة عن قائمة مفصولة بفواصل مكونة من ثلاث كلمات مرور متتالية يتم إنتاجها بواسطة
الرمز المميز للمستخدم (تتوفر وظيفة "المزامنة التلقائية" هذه أيضًا من خلال
local_token_authenticate[3]). يجب أن يتطابق التسلسل المحدد مع التسلسل المحسوب
بالضبطبالنظر إلى المعلمات التشغيلية السارية؛ على سبيل المثال، الأصفار البادئة هي
مهم، كما هو الحال مع جذر العرض وعدد أرقام OTP السارية. لو
إذا نجحت المزامنة، فيجب أن يكون المستخدم قادرًا على المصادقة باستخدام التالي
كلمة المرور التي ينتجها الجهاز. خوارزمية بحث شاملة باستخدام الزيادة
يتم استخدام قيم العداد، مع حد زمني للترجمة على الحد الأقصى لعدد
الحسابات. يبدأ البحث عند قيمة العداد المخزنة حاليًا للخادم، ما لم
يتم توفير واحد باستخدام -عداد. إذا لم تنجح هذه العملية، فقد تستغرق وقتًا طويلاً
قبل أن ينتهي؛ يجب على المستخدم الاتصال بالمسؤول للحصول على المساعدة.
في وضع TOTP، حاول تحديد مدى تزامن ساعة النظام معها
ساعة الرمز المميز وعرض النتيجة. يمكن استخدام هذه المعلومات لتحديث
سجل الرمز المميز للمستخدم للتعويض عن الساعات المتزامنة بشكل سيئ، أو لضبطها
معلمات التحقق من الصحة. مفتاح الرمز المميز واسم خوارزمية الملخص هما
تم الحصول عليها لسجل الرمز المميز الذي ينتمي إلى اسم المستخدم، إذا أُعطي؛ وإلا المفتاح
تتم المطالبة ويتم الحصول على خوارزمية الملخص المراد استخدامها من الأمر
الخط أو الافتراضي. كلمة المرور الأولى فقط في قائمة كلمة المرور يستخدم. ال
-totp-timestep, -أرقامو -totp قاعدة الخيارات فعالة خلال هذه العملية.
-اختبار
قم بإجراء بعض الاختبارات الذاتية، ثم اخرج. حالة الخروج غير الصفرية تعني حدوث خطأ.
-totp-العرض NUM
عرض تسلسل كلمات مرور TOTP باستخدام المعلمات السارية حاليًا:
حجم الفاصل (-totp-timestep)، عدد الأرقام (-أرقام) والقاعدة (-يتمركز). ال
لا يتم تعديل المعلمات المخزنة في الحساب. هذا مخصص بشكل أساسي لتصحيح الأخطاء
الأغراض.
إذا لم تكن الجامعة المرغوب التقدم اليها غير مذكورة أعلاه ، فاتصل بنا للحصول على اسم المستخدم يتم توفيره (يجب أن يكون مرتبطًا بجهاز TOTP)، والمفتاح و
يتم استخدام المعلمات المخزنة الأخرى من الحساب ما لم يتم تجاوزها بواسطة سطر الأوامر
أعلام. تسلسل كلمات المرور ل NUM فترات قبل وبعد الوقت الحالي،
تتم طباعة جنبا إلى جنب مع كلمة المرور للوقت الحالي.
إذا كانت الإجابة بلا اسم المستخدم يتم إعطاء المفتاح، ويطالب البرنامج بالمفتاح (الذي يتم تكراره) ويستخدمه
إشارات سطر الأوامر أو القيم الافتراضية للمعلمات. ثم يصدر كلمة مرور TOTP
للوقت الحالي في كل مرة يتم فيها الضغط على زر Return/Enter. تؤدي كتابة EOF إلى حدوث فوري
نهاية.
-تحقق قيمة مكتب المدعي العام
If قيمة مكتب المدعي العام هي كلمة المرور التالية المتوقعة لمرة واحدة، قم بإرجاع حالة الخروج من صفر إلى
تشير إلى النجاح؛ أي قيمة أخرى تشير إلى الفشل. لو اسم المستخدم يتم إعطاء المعلمات
للتحقق من الصحة، بما في ذلك المفتاح، من هذا الحساب ما لم يتم تجاوزه
سطر الأوامر. لم تتغير حالة الخادم. على سبيل المثال، عداد HOTP ليس كذلك
متقدم. إذا لا اسم المستخدم يتم إعطاء -الوضع يجب استخدام العلم والمعلمات
يجب توفير المطلوب لهذا الوضع، بما في ذلك المفتاح. بالنسبة لوضع HOTP، قيمة عداد
يجب توفيرها. بالنسبة لوضع TOTP، تكون معلمات سطر الأوامر فعالة أثناء ذلك
التحقق من الصحة. com.dacstoken سوف اختبار ما إذا كان قيمة مكتب المدعي العام التحقق من صحة ضد المعلمات في
تأثير.
ما يلي تغيير الأعلام مفهومة:
-كل
بدافع -جلس و لا اسم المستخدم، قم بتطبيق التغييرات على الكل حسابات. يمكن استخدام هذا ل
تمكين أو تعطيل كافة الحسابات، على سبيل المثال. ال -ينكي - مفاتيح الأعلام هي
تكريم. في حالة حدوث خطأ، تتوقف المعالجة على الفور، وفي هذه الحالة يتم إيقاف بعض العمليات فقط
ربما تم تعديل الحسابات.
-يتمركز NUM
استعمل NUM كقاعدة (الجذر) عند عرض OTP. قيمة ال NUM يقتصر على
10 (الافتراضي)، 16 أو 32.
-عداد NUM
هذه هي قيمة عداد HOTP ذات 8 بايت التي سيتم تعيينها، ويتم التعبير عنها كقيمة سداسية عشرية إذا كانت مسبوقة بـ
بواسطة "0x" (أو "0X")، أو العلامة العشرية بخلاف ذلك. قد يتم حذف الأصفار البادئة. وهذا يعني HOTP
وضع. بالنسبة للأجهزة الرمزية، لا ينبغي أن يكون من الممكن إعادة تعيين العداد (modulo counter
overflow) لأن ذلك سيؤدي إلى تكرار تسلسل كلمة المرور، على افتراض
أن المفتاح لم يتغير؛ قد لا تحتوي تطبيقات البرامج على هذا القيد،
ومع ذلك، احذر من الآثار الأمنية.
-أرقام NUM
استعمل NUM أرقام عند عرض OTP. قيمة ال NUM يقتصر على 6, 7, 8 (لل
الافتراضي) أو 9 مع القاعدة 10. يقتصر على 6 مع القاعدة 32 ويتم تجاهله مع
قاعدة 16 (إخراج سداسي عشري).
-إبطال
تعطيل الحساب لـ اسم المستخدم. local_token_authenticate الوحدة النمطية، و -عث
-تحقق الأعلام، لن تسمح للمستخدم بالمصادقة حتى يتم الحساب
تم تمكينه، على الرغم من أنه لا يزال من الممكن إجراء عمليات أخرى على الحساب. لو -يُمكَِن
يتم استخدامه لاحقًا، سيصبح الحساب قابلاً للاستخدام للمصادقة وهو كذلك
واستعادته إلى حالته التي كانت عليها في وقت تعطيلها. ليس من الخطأ تعطيل
حساب معطل بالفعل.
-يُمكَِن
تمكين الحساب ل اسم المستخدم. local_token_authenticate ستسمح الوحدة النمطية بـ
المستخدم للمصادقة. ليس من الخطأ تمكين حساب ممكّن بالفعل.
-hotp-نافذة NUM
إذا كانت كلمة مرور HOTP المتوقعة لا تتطابق مع كلمة المرور المحددة، فحاول مطابقتها
NUM كلمات المرور بعد كلمة المرور المتوقعة في التسلسل. القيمة صفر ل NUM
تعطيل هذا البحث.
-ينكي نوع العنصر
لفك تشفير المفاتيح السرية، استخدم المتجر الذي تم تحديده بواسطة نوع العنصر، محتمل
تم تكوينه في dacs.conf.
-مفتاح com.keyval
استعمل com.keyval كالمفتاح السري، معبرًا عنه بسلسلة مكونة من أرقام سداسية عشرية.
حماية
إن توفير مفتاح في سطر الأوامر ليس آمنًا لأنه قد يكون مرئيًا
عمليات أخرى.
-ملف مفتاح اسم الملف
اقرأ المفتاح السري، معبرًا عنه بسلسلة مكونة من أرقام سداسية عشرية، من اسم الملف. إذا اسم الملف is
"-"، تتم قراءة المفتاح من stdin.
-موجه المفتاح
المطالبة بالمفتاح السري، معبرًا عنه بسلسلة مكونة من أرقام سداسية عشرية. لا يتم تكرار الإدخال.
-الوضع وضع مكتب المدعي العام
يحدد هذا (بدون تحسس حالة الأحرف) نوع الرمز المميز (وضع جهاز OTP) للاستخدام
مع -جلس, -يزيدوعمليات التحقق والمزامنة. ال وضع مكتب المدعي العام قد يكون
إما عداد أو hotp لوضع العداد، أو الوقت أو totp للوضع القائم على الوقت. هذا
العلم مطلوب عند إنشاء حساب جديد.
- مفاتيح نوع العنصر
لتشفير المفاتيح السرية، استخدم المتجر الذي تم تحديده بواسطة نوع العنصر، من المفترض تعريفها
في dacs.conf.
دبوس بينفال
استعمل بينفال كرقم التعريف الشخصي السري للحساب.
حماية
إن توفير رقم التعريف الشخصي (PIN) في سطر الأوامر ليس آمنًا لأنه قد يكون مرئيًا
عمليات أخرى.
-القيود دبوس شارع
بدلا من استخدام PASSWORD_CONSTRAINTS[14] الاستخدام شارع (له نفس بناء الجملة و
دلالات) لوصف متطلبات رقم التعريف الشخصي.
ملاحظات
تنطبق متطلبات رقم التعريف الشخصي (PIN) على أرقام التعريف الشخصية (PIN) التي يتم الحصول عليها عبر علامة سطر الأوامر وتلك
تم الحصول عليها من خلال الاستيراد (باستخدام السمة "p"). المتطلبات ليست كذلك
"بأثر رجعي"، ومع ذلك، فإن تغيير المتطلبات لا يؤثر على أرقام التعريف الشخصية الخاصة بالجهاز
الحسابات الموجودة أو استيراد الحسابات التي تم تصديرها مسبقًا (التي تحتوي على ملف
السمة "ph").
-ملف دبوس اسم الملف
اقرأ رقم التعريف الشخصي السري من اسم الملف. إذا اسم الملف هو "-"، تتم قراءة رقم التعريف الشخصي من stdin.
-دبوس موجه
المطالبة برقم التعريف الشخصي السري. لا يتم تكرار الإدخال.
-رند
محفوظة للاستخدام في المستقبل.
-بذرة شارع
محفوظة للاستخدام في المستقبل.
-مسلسل شارع
الرقم التسلسلي، شارع، هو (من المفترض) معرف فريد مخصص للرمز المميز.
يستخدم هذا الخيار مع -جلس, -يزيدو -قائمة أعلام. رقم تسلسلي
يحدد جهاز OTP محددًا ولا يلزم أن يظل سراً. خاصية التفرد
يتم فرضه ضمن وحدة تخزين نوع العنصر؛ وهذا هو، الأرقام التسلسلية لجميع HOTP
يجب أن تكون الأجهزة فريدة، ويجب أن تكون الأرقام التسلسلية لجميع أجهزة TOTP فريدة، وإذا كان
عند دمج حسابات نوعي الأجهزة، يجب أن تكون جميع الأرقام التسلسلية للجهاز
فريد. يتم قبول أي سلسلة قابلة للطباعة. إذا كان يتم إنشاء عميل البرنامج
كلمات المرور، يمكنك استخدام الرقم التسلسلي للجهاز، أو اختيار أي رقم وصفي مناسب
سلسلة لم يتم تعيينها بالفعل لجهاز.
ملاحظات
سلطة قضائية تسمح (أو قد تسمح في النهاية) بكل من الرموز المميزة للأجهزة و
يجب أن تفكر تطبيقات العميل المولدة للبرمجيات في اعتماد نظام رسمي
مخطط التسمية لرموزها. على سبيل المثال، قد يقوم المسؤول بإلحاق "-hw" بـ
الرقم التسلسلي للبائع لتشكيل com.dacstoken رقم سري. للبرمجيات
الرموز المميزة، فقد يقوم المسؤول بإنشاء ملف com.dacstoken الرقم التسلسلي عن طريق الإلحاق
"-sw" إلى الرقم التسلسلي للجهاز.
-totp-دلتا NUM
اضبط الوقت الأساسي حسب NUM فترات (كل من حجم الخطوة عدد الثواني) متى
حساب TOTP. ال NUM يمكن أن تكون سلبية، صفر، أو إيجابية. يستخدم هذا لتصحيح
للساعات المتزامنة بشكل غير كاف.
-totp-الانجراف com.nwindows
بالنسبة إلى TOTP، استخدم حجم نافذة يبلغ com.nwindows (من حيث حجم الفاصل الزمني) ل
تصديق. لو com.nwindows is 0، يجب أن تتطابق قيمة TOTP المحسوبة مع القيمة المحددة
بالضبط. لو com.nwindows is 1، على سبيل المثال، com.dacstoken سيحاول مطابقة TOTP المحدد
القيمة في الفترات السابقة والحالية والقادمة. وهذا يسمح للساعات في
تشغيل النظام com.dacstoken (أو local_token_authenticate) وجهاز إنتاج الرمز المميز
تكون أقل مزامنة.
حماية
على الرغم من أنه يعوض عن الساعات المتزامنة بشكل سيئ، مما يزيد من قيمة
com.nwindows يضعف النظام من خلال إطالة عمر كلمة المرور لمرة واحدة.
-totp-التجزئة ALG
استعمل ALG كخوارزمية الملخص مع TOTP. قيمة ال ALG يقتصر على (الحالة
بشكل غير حساس) SHA1 (الافتراضي)، أو SHA256، أو SHA512.
-totp-timestep ثوان
استعمل ثوان كحجم الفاصل الزمني عند حساب TOTP. يجب أن يكون أكبر من الصفر. ال
الافتراضي هو 30 ثواني.
حماية
على الرغم من أنه يعوض عن الساعات المتزامنة بشكل سيئ، مما يزيد من قيمة
ثوان يضعف النظام من خلال إطالة عمر كلمة المرور لمرة واحدة.
-vfs vfs_uri
استعمل vfs_uri لتجاوز VFS[33] توجيهات التكوين سارية المفعول. هذا يمكن أن يكون
يستخدم لتكوين أو إعادة تكوين auth_token، أو auth_hotp_token، أو auth_totp_token إلى
تحديد طريقة تخزين الحسابات التي يتم التصرف بناءً عليها.
وبصرف النظر عن رسائل الخطأ، التي تتم طباعتها على الخطأ القياسي، فإن كل الإخراج يذهب إلى
الإخراج القياسي.
عادة ، أ خيار سيتم تحديد الاختصاص نيابة عنه
تتم إدارة الحسابات.
أمثلة
تفترض هذه الأمثلة أن اسم السلطة القضائية المطلوب استخدامه هو EXAMPLE واتحاده
المجال هو example.com.
لاستخدام طريقة المصادقة هذه ، أ DACS قد يقوم المسؤول بالخطوات التالية
لكل جهاز OTP مخصص لمستخدم:
1. احصل على رمز مميز مدعوم، وراجع كيفية استخدامه للمصادقة، ثم حدد القيم
لمختلف المعلمات. الحصول على المفتاح السري للجهاز من البائع. ل
جهاز قابل للبرمجة، حدد مفتاح عشوائي مناسب وقم ببرمجته في الجهاز.
يمكن أيضًا الحصول على قيم العداد الحالية من البائع، على الرغم من ذلك
من المحتمل أن تتم التهيئة إلى الصفر؛ بالنسبة لجهاز قابل للبرمجة، اضبط قيمة العداد على
صفر. قرر ما إذا كانت هناك حاجة إلى رقم التعريف الشخصي (انظر TOKEN_REQUIRES_PIN[9]). إذا كان البرنامج
العميل قيد الاستخدام، قم بتثبيت البرنامج على جهاز المستخدم (أو اطلب من المستخدم القيام بذلك
لذلك)، وقم بتكوين البرنامج.
2. حدد المكان الذي سيتم تخزين معلومات الحساب فيه، وإذا لزم الأمر، قم بإضافة مكان مناسب
VFS[33] التوجيه إلى dacs.conf. الافتراضي (الموجود في site.conf) يحافظ على الحساب
المعلومات الموجودة في ملف يسمى auth_tokens ضمن النطاق الافتراضي الخاص لكل ولاية قضائية
منطقة:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. قم بإنشاء مفاتيح لتشفير معلومات الحساب (انظر الرموز سري مفاتيح[34]) و
تحديد المكان الذي سيتم تخزينها فيه؛ على سبيل المثال (معرف المستخدم الخاص بك، معرف المجموعة، المسار،
قد يختلف اسم الولاية القضائية ومجال الاتحاد):
٪ cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
إذا لزم الأمر، أضف مناسبة VFS[33] التوجيه إلى dacs.conf؛ الافتراضي، وهو
المستخدمة أعلاه، تحافظ على معلومات الحساب في ملف يسمى auth_token_keys بداخله
المنطقة الخاصة الافتراضية لكل ولاية قضائية:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. إذا كنت تريد من المستخدمين تسجيل الدخول من خلالهم توثيق dacs(8)[2]، يجب عليك تكوين
عبارة المصادقة المناسبة في dacs.conf، على سبيل المثال:
عنوان URL "الرمز المميز"
STYLE "تمرير"
التحكم "كاف"
5. هناك عدة طرق يمكن للمسؤول اتباعها، اعتمادًا على مقدارها
يمكن أن يتم بذل الجهد من قبل المستخدمين (على سبيل المثال، ما إذا كان يمكن الوثوق بهم، أو خدماتهم التقنية
القدرة)، وعدد المستخدمين هناك (عدد قليل، أو آلاف)، ومستوى الأمان
مطلوب.
1. قم بإعداد ملف يحتوي على XML سجل[35] لكل حساب سيتم إنشاؤه؛ لو
يجب استخدام أرقام التعريف الشخصية، وتعيين رقم تعريف شخصي عشوائي لكل حساب؛
2. استخدم -يستورد[36] علامة لإنشاء الحسابات؛
3. قم بإعطاء جهاز الرمز المميز واسم المستخدم ورقم التعريف الشخصي الأولي (إذا لزم الأمر) للمستخدم
(ربما التحقق من الهوية)، وتقديم أي إثبات ضروري و
تعليمات؛
4. اطلب من المستخدم تعيين أو إعادة تعيين رقم التعريف الشخصي للحساب، واطلب من المستخدم تسجيل الدخول
باستخدام الرمز المميز لتأكيد العملية الصحيحة.
لإنشاء حساب معطل للمستخدم bobo لجهاز HOTP:
% dacstoken -uj EXAMPLE -mode hotp -serial 37000752 -key-file bobo.key -create bobo
تتم قراءة المفتاح السري للحساب (الذي يجب ألا يكون موجودًا بالفعل) من الملف
bobo.key. يتم تعطيل الحسابات الجديدة بشكل افتراضي؛ يستخدم -يُمكَِن لإنشاء حساب ممكن.
بمجرد إنشاء الحساب، يمكن مزامنته مع الرمز المميز. للمزامنة
رمز HOTP للمستخدم bobo:
% dacstoken -uj EXAMPLE -sync 433268,894121,615120 بوبو
في هذا المثال، أنتج الرمز المميز كلمات المرور الثلاث المتتالية 433268،
894121 و615120. لاحظ أن سلسلة تسلسل كلمة المرور التي تتبع ملف -مزامنة العلم هو
وسيطة واحدة لا يمكن أن تحتوي على أية مسافات مضمنة. إذا كان المفتاح لهذا الرمز المميز هو
19c0a3519a89b4a8034c5b9306db، يجب أن تكون كلمة المرور التالية التي تم إنشاؤها بواسطة هذا الرمز المميز هي 544323
(مع قيمة العداد 13). يمكن التحقق من ذلك باستخدام -hotp-show:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000 أ: 433268
000000000000000 ب: 894121
000000000000000ج: 615120
000000000000000د: 544323
000000000000000e: 002442
لتمكين الحساب للمستخدم bobo:
% dacstoken -uj EXAMPLE -enable -set bobo
لتعيين رقم التعريف الشخصي وتمكين الحساب للمستخدم bobo:
% dacstoken -uj EXAMPLE -enable -pin "CzAy" -set bobo
لسرد جميع الحسابات بالتفصيل:
% dacstoken -uj مثال -long
إنّ -قائمة العلامة زائدة عن الحاجة لأنها العملية الافتراضية. ال -الوضع, -عداد، الخ.
المعدلات ليس لها أي تأثير عند الإدراج.
لسرد حساب bobo فقط:
% dacstoken -uj EXAMPLE -list bobo
ستكون حالة الخروج غير صفرية إذا لم يكن لدى هذا المستخدم حساب.
لعرض حساب الجهاز بالرقم التسلسلي 37000752:
% dacstoken -uj EXAMPLE -serial 37000752
غالبًا ما تتم طباعة الرقم التسلسلي، الذي يجب أن يحدد الرمز المميز بشكل فريد، على الرمز المميز
أو يمكن عرضها بواسطة الرمز المميز.
لتعيين قيمة العداد للحساب الحالي لـ bobo:
% dacstoken -uj EXAMPLE -counter 9 -set bobo
يمكن استخدام هذه العملية للاختبار أو مع رمز مميز للبرنامج. ال -مزامنة العملية
أكثر ملاءمة لرمز الجهاز.
لتغيير رقم التعريف الشخصي لاسم المستخدم bobo:
% dacstoken -uj EXAMPLE -pin-prompt -set bobo
سيطالبك البرنامج برقم التعريف الشخصي الجديد.
لاستخدام ملف حساب بديل، /secure/auth_tokens:
% dacstoken -uj EXAMPLE -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
لاستخدام مفاتيح جديدة (مع عمل نفس الافتراضات السابقة)، قم بإضافة توجيه VFS مناسب إلى
dacs.conf; يحدد الإعداد الافتراضي نوع العنصر auth_token_keys_prev كما يلي:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
٪ cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXAMPLE -inkeys auth_token_keys.prev -set
DIAGNOSTICS
يخرج البرنامج 0 أو 1 في حالة حدوث خطأ.
استخدم dacstoken عبر الإنترنت باستخدام خدمات onworks.net