stoken - Online în cloud

PROGRAM:

NUME

stoken - token software pentru autentificare criptografică

REZUMAT

stârnit [tokencode] [--stdin] [--forta] [--Următorul] [optează]

stârnit import {--file=fişier | --token=token_string} [--forta] [optează]

stârnit setpin [optează]

stârnit setpass [optează]

stârnit Arăta [--samanta] [optează]

stârnit exporturile [{--blocuri | --iphone | --android | --v3 | --sdtid | --qr=fișier.png |
--arată-qr}] [optează]

stârnit problema [--șablon=fişier]

stârnit ajutor

stârnit versiune

DESCRIERE

stârnit este un token software compatibil cu token-urile RSA SecurID pe 128 de biți (AES). Comanda-
interfața de linie oferă facilități pentru importarea de noi jetoane, afișând cele curente
tokencode, criptarea semințelor cu o parolă specificată de utilizator, stocarea PIN-ului utilizatorului
alături de jeton și vizualizarea sau exportarea datelor jetonului.

BASIC UTILIZARE

Utilizare stârnit import pentru a decoda un șir de simbol și a-l scrie în ~/.stokenrc. Acest lucru poate solicita
pentru un ID de dispozitiv și/sau o parolă, în funcție de opțiunile pe care le-a folosit administratorul
creați jetonul. Șirul de simboluri poate fi furnizat pe linia de comandă sau poate fi citit de la a
fisier text.

stârnit va detecta automat următoarele tipuri de șiruri de simboluri:

286510182209303756117707012447003320623006 ...
29658-21098-45467-64675-65731-01441-11337...
Șiruri de caractere numerice pure (81 de cifre) „ctf” (format de simbol comprimat), cu sau fără
liniuțe. Acestea pot fi furnizate așa cum sunt sau ar fi putut fi derivate din
an sdtid dosar de către RSA TokenConverter programul.

com.rsa.securid.iphone://ctf?ctfData=229639330774927764401...
Șiruri de simboluri compatibile cu iPhone.

http://127.0.0.1/securid/ctf?ctfData=250494932146245277466...
http://127.0.0.1/securid/ctf?ctfData=AwAAfBc3QSopPxxjLGnxf...
Șiruri de simboluri compatibile cu Android.

<?xml versiune=...
RSA sdtid-fișiere XML formatate. Acestea ar trebui importate dintr-un fișier: stârnit import
--file=FILE.SDTID.

Tokenurile furnizate ca coduri QR pot fi convertite înapoi în URI-uri standard prin rulare zbarimg(1)
pe fișierul imagine.

ID-ul dispozitivului, dacă este utilizat, poate fi vizualizat în meniul „despre” pentru aplicația RSA soft token activată
telefonul. Șirurile numerice ctf și jetoanele de smartphone legate la un ID de dispozitiv conțin un seed
care este criptat folosind ID-ul dispozitivului, astfel încât ID-ul trebuie furnizat înainte ca Stoken să poată
importați cu succes jetonul. sdtid fișierele pot fi importate fără cunoștințe despre
ID-ul dispozitivului, atâta timp cât parola (dacă există) este cunoscută.

În mod implicit, stârnit import va refuza să suprascrie un token existent în ~/.stokenrc.
--forta comutatorul anulează această verificare.

stârnit import va solicita în mod normal o nouă parolă, care este folosită pentru a cripta semințele
înainte de a-l depozita ~/.stokenrc. Acest lucru poate fi ocolit prin introducerea unei parole goale sau
precizând --new-password='' pe linia de comandă. Este recomandat să alegeți un mai lung,
expresie de acces greu de ghicit în acest scop.

După ce un token a fost importat, rulează stârnit fără argumente va solicita niciunul
parola sau PIN-ul necesar, apoi afișați codul indicativ curent.

Tokencodes sunt calculate din datele de semințe brute (decriptate), ora curentă a zilei și
PIN-ul. Dacă aceeași sămânță este instalată pe mai multe dispozitive, toate ar trebui să producă
coduri de simbol identice. Dacă nu, verificați setarea fusului orar și luați în considerare
folosind NTP pentru a sincroniza ora sistemului cu o sursă bună cunoscută.

stârnit setpin poate fi folosit pentru a salva codul PIN ~/.stokenrc. Nu toate jetoanele vor necesita a
PIN; aceasta poate fi configurată de administratorul SecurID atunci când generează noi token-uri.
Setarea unui PIN gol va elimina PIN-ul din ~/.stokenrc astfel încât utilizatorul să fie
solicitat de fiecare dată când este necesar. Vezi SECURITATE CONSIDERAȚII secțiunea de mai jos pentru
detalii suplimentare.

stârnit setpass criptează semințele și PIN-ul (dacă există) în ~/.stokenrc cu un utilizator-
parola sau expresia de acces selectabilă. Dacă este introdusă o parolă goală, parola va fi
îndepărtat. Vezi SECURITATE CONSIDERAȚII secțiunea de mai jos pentru detalii suplimentare.

VIZIONARE indicativele

stârnit Arăta afișează informații despre tokenul curent, de obicei citit din ~/.stokenrc.
--samanta opțiunea afișează octeții de semințe criptați și decriptați (care ar trebui tratați
ca date sensibile, deoarece pot fi folosite pentru a obține coduri de simbol).

stârnit exporturile traduce jetonul curent într-un format potrivit pentru import în
un alt dispozitiv.

stârnit problema generează un nou token software în XML sdtid format. Un fișier șablon, în sine
in sdtid format, poate fi furnizat pentru a înlocui unele sau toate câmpurile care pot fi citite de om.
Acest lucru ar permite să existe numere de serie adecvate, date de expirare, nume de utilizator etc
specificat. Dacă câmpurile Secret, Seed sau MAC sunt prezente în fișierul șablon, acestea vor fi
ignorat.

GLOBAL OPŢIUNI

--rcfile=fişier
Utilizați o alternativă .stokenrc Fișier de configurare. Acesta este de obicei folosit pentru a susține
mai multe jetoane pe contul UNIX al aceluiași utilizator. Rețineți că .stokenrc fişier
stochează date suplimentare (cum ar fi PIN-ul), astfel încât nu pot fi analizate ca un token „brut”.
șir de stârnit --fişier.

--parola=parola, -p parola
Utilizați o parolă furnizată din linia de comandă, în loc să solicitați utilizatorului. Vedea
note în SECURITATE CONSIDERAȚII de mai jos.

--pin=pinul, -n pinul
Utilizați un PIN furnizat din linia de comandă, în loc să solicitați utilizatorului. Vezi notele
in SECURITATE CONSIDERAȚII de mai jos. Dacă salvați codul PIN în ~/.stokenrc, Rețineți că
--pin=0000 este adesea necesar la activarea unui nou simbol soft pentru prima dată.

--devid=dumnezeu
Utilizați un ID de dispozitiv furnizat din linia de comandă pentru a decripta simbolul. O cutie de jetoane
să fie legat de un ID de dispozitiv GUID de clasă (adică un anumit tip de dispozitiv, cum ar fi „iPhone”
sau „Android”), un ID unic de dispozitiv (o anumită unitate) sau nimic. stârnit voi
încercați să detectați automat potrivirile cu un GUID de clasă, dar în rare ocazii acest lucru rezultă
în fals pozitive din cauza coliziunilor hash. În aceste cazuri, ID-ul dispozitivului legat
ar trebui să fie specificat pe linia de comandă pentru a anula detectarea automată.

EXPORT OPŢIUNI

--nouă-parolă=parola
Furnizați parola de criptare din linia de comandă pentru operațiunile care scriu
un șir de simbol sau .stokenrc fișier: import, exporturile, setpass și problema. Vezi notele în
SECURITATE CONSIDERAȚII de mai jos.

--pastreaza-parola
Dacă jetonul din .stokenrc fișierul este protejat cu o parolă, păstrați-o
parola la exportul jetonului. În mod implicit, exporturile operațiunea nu va
criptați jetonul cu o parolă; rețineți că este posibil să nu fie posibil să introduceți toate
parole posibile pe dispozitive cu capacități limitate de introducere a textului (cum ar fi funcția
telefoane).

--new-pin=pinul
Furnizați un PIN nou din linia de comandă pentru setpin Operațiune. Vezi notele în
SECURITATE CONSIDERAȚII de mai jos.

--new-devid=dumnezeu
Folosit cu exporturile or problema comandă pentru a cripta noul token cu un anumit
identificatorul dispozitivului. Acesta este folosit doar în scopuri de testare.

--blocuri, --iphone, --android, --v3
Folosit cu exporturile comanda pentru a selecta formatul de ieșire. Vezi exemple în BASIC
UTILIZARE. În mod implicit, funcția exporturile comanda va imprima un șir de 81 de cifre neformatat la
ieșire standard.

--sdtid, --xml
Aceste opțiuni sunt sinonime. Ambele exportă un token la ieșirea standard în RSA sdtid
format XML.

--qr=fișier.png
Codificați jetonul ca cod QR și scrieți-l fișier.png. Acest lucru necesită qrencode
programul de instalat.

--arată-qr
Codificați jetonul ca cod QR și afișați-l imediat pe ecran. Acest
necesită qrencode programul de instalat. Dacă QR_VIEWER mediu inconjurator
variabila este setată, stârnit va folosi acel program ca vizualizator preferat. In caz contrar
va încerca să execute câteva vizualizatoare de imagini Linux obișnuite și să renunțe dacă niciuna dintre ele
ele există.

--template=fişier
Folosit cu exporturile or problema comenzi pentru a suprascrie câmpurile din ieșirea XML. The
fișier șablon ar trebui să arate ca orice standard sdtid fișier, dar toate câmpurile sunt opționale
și va fi implicit la valori rezonabile dacă este omisă. Aceasta poate fi folosită pentru a forța
XML de ieșire pentru a utiliza un anumit număr de serie, nume de utilizator, dată de expirare etc.
Sumele de control MAC corecte vor fi (re)calculate pe valorile furnizate. Vezi
exemple directorul din distribuția sursă pentru mai multe informații.

ALTE OPŢIUNI

--use-time={unix_time|+compensa|-compensa}
În loc să generați un tokencode bazat pe ora curentă a zilei, forțați a
oră specifică sau ajustați ora curentă pe baza unei compensații pozitive sau negative
(specificat în secunde). Acesta este folosit doar în scopuri de testare.

--Următorul Generați următorul tokencode în loc de tokencode actual. Pentru 60 de secunde
token, aceasta este echivalentă cu --use-time=+60.

--stdin, -s
Când se generează un tokencode care necesită oricare o parolă sau PIN, citiți
parola sau PIN ca o singură linie de la intrarea standard. Acest lucru este destinat să permită
programe externe de apelat stârnit pentru a genera parole de unică folosință fără utilizator
intervenţie; vedea NEINTERACTIVĂ UTILIZAȚI de mai jos.

--forta, -f
Ignorați verificările datei de expirare a simbolului (pentru tokencode) sau verificări de suprascriere a simbolurilor
(Pentru import).

--lot, -b
Anulați cu un cod de ieșire de eroare dacă este necesară orice introducere de utilizator. Destinate pentru
operare și testare automată.

--file=fişier
Citiți un șir ctf, un URI Android/iPhone sau un XML sdtid jeton de la fişier in schimb
a .stokenrc configurație. Cel mai stârnit comenzile acceptă acest steag, dar este
se aștepta ca utilizatorul obișnuit să-și salveze jetonul ~/.stokenrc în loc de
furnizându-l manual la fiecare invocare. De obicei --fişier si --jeton sunt numai
folosit pentru import comanda.

--token=token_string
Utilizați un simbol din linia de comandă în loc de .stokenrc fişier. Vezi notele de mai sus
on --fişier.

--Aleatoriu
Generați un jeton aleatoriu din mers. Folosit numai pentru teste sau demonstrații.
Aceste jetoane ar trebui nu să fie utilizat pentru autentificare reală.

--Ajutor, -h
Afișează informații de bază de utilizare.

--versiune, -v
Afișează informații despre versiune.

SECURITATE CONSIDERAȚII

Token-urile software, spre deosebire de jetoanele hardware, sunt relativ ușor de replicat. Sisteme care
Semințele de depozitare a simbolurilor moi ar trebui să fie păzite cu grijă pentru a preveni dezvăluirea neautorizată.
Utilizarea criptării întregului disc, cum ar fi TrueCrypt, este recomandată cu tărie pentru laptopuri
și alte dispozitive portabile care sunt ușor pierdute sau furate.

stârnit permite utilizatorilor să-și stocheze codul PIN ~/.stokenrc pentru a permite automatizarea (scriptable)
generarea de tokencodes, dar riscurile acestei abordări ar trebui cântărite cu atenție
împotriva beneficiilor.

Utilizarea setpass comandă pentru a cripta semințele și PIN-ul ~/.stokenrc oferă un anumit grad
de protecție împotriva accesului neautorizat, dar nu acoperă neapărat toate posibilitățile
vectori de atac. O gazdă care este deja compromisă (de exemplu, rulează un keylogger) nu o va face
asigurați o protecție adecvată pentru orice semințe depozitate pe acesta.

stârnit parolele de criptare pot avea până la 40 de caractere. O expresie de acces mai lungă
construit din mai multe cuvinte aleatorii poate oferi mai multă protecție împotriva atacurilor cu forță brută
decât o parolă mai scurtă.

Introducerea unei parole sau a unui PIN pe linia de comandă este, în general, nesigură pe sistemele multiutilizator,
deoarece alți utilizatori pot vedea argumentele liniei de comandă în ps sau utilitati similare.
Linia de comandă ar putea fi, de asemenea, stocată în cache în fișierele istorice shell.

Codarea jetoanelor QR poate expune datele semințe prin ps, Şi --arată-qr opțiunea scrie
fișiere PNG temporare în / tmp.

stârnit încearcă să blocheze paginile pentru a preveni schimbarea pe disc, dar nu curățează secretele
din memoria procesului.

NEINTERACTIVĂ UTILIZAȚI

Alte aplicații, cum ar fi clienții VPN, ar putea dori să le invoce stârnit non-interactiv la
genera parole de unică folosință. Sunt acceptate trei moduri de utilizare, în funcție de nivelul
securitatea (și/sau comoditatea) care este necesară:

Nu parola or PIN
Utilizatorul configurează stârnit pentru a tipări un tokencode imediat după invocare, cu nr
solicitări, prin utilizarea setpin pentru a stoca PIN-ul ~/.stokenrc și utilizarea setpass pentru a seta un gol
parola. Cealaltă aplicație poate apoi invoca stârnit --lot și citiți tokencode-ul
printr-o conductă de la ieșire standard.

Acest lucru nu oferă securitate pentru semințe, dar poate fi util în aplicațiile în care
(re)autentificarea este frecventă sau este necesară operarea nesupravegheată.

Economisește il PIN si set a parola
Utilizatorul configurează stârnit pentru a cripta ~/.stokenrc secrete cu o parolă folosind
setpass, apoi salvează PIN-ul cu setpin. Codul PIN și sămânța vor fi ambele criptate
parola. Cealaltă aplicație va solicita parola de la utilizator, apoi va suna
stârnit --stdin, scrieți parola către stârnitIntrarea standard a lui printr-o conductă și citiți
înapoi un tokencode de la stârnitieșirea standard a lui.

Nu parola; prompt pentru il PIN
Similar cu mai sus, dar setați o parolă goală folosind setpass, nu salvați codul PIN
~/.stokenrcși transmiteți codul PIN către stârnit --stdin prin intrare standard.

Utilizați stoken online folosind serviciile onworks.net