Это набор команд, который можно запустить в бесплатном хостинг-провайдере OnWorks, используя одну из наших многочисленных бесплатных онлайн-рабочих станций, таких как Ubuntu Online, Fedora Online, онлайн-эмулятор Windows или онлайн-эмулятор MAC OS.
ПРОГРАММА:
ИМЯ
stoken - программный токен для криптографической аутентификации
СИНТАКСИС
топленый [токенкод] [--стдин] [--сила] [--следующий] [выбирает]
топленый Импортировать {--file =файл | --token =token_string} [--сила] [выбирает]
топленый булавка [выбирает]
топленый установить пропуск [выбирает]
топленый произошел [--семя] [выбирает]
топленый экспорт [{--блоки | - iPhone | --андроид | --v3 | --sdtid | --qr =файл.png |
--show-qr}] [выбирает]
топленый вопрос [-шаблон=файл]
топленый помощь
топленый версия
ОПИСАНИЕ
топленый - это программный токен, совместимый с 128-битными (AES) токенами RSA SecurID. Команда-
линейный интерфейс предоставляет возможности для импорта новых токенов, отображения текущего
tokencode, шифрование начального числа с помощью указанного пользователем пароля, хранение PIN-кода пользователя
рядом с токеном, а также просмотр или экспорт данных токена.
BASIC ИСПОЛЬЗОВАНИЕ
Используйте топленый Импортировать декодировать строку токена и записать ее в ~ / .stokenrc. Это может побудить
для идентификатора устройства и / или пароля, в зависимости от того, какие параметры использовал ваш администратор
создать токен. Строку токена можно указать в командной строке или прочитать из
текстовый файл.
топленый будет автоматически определять следующие типы строк токенов:
286510182209303756117707012447003320623006 ...
29658-21098-45467-64675-65731-01441-11337...
Чистые числовые (81-значные) строки "ctf" (сжатый формат токена), с или без
тире. Они могли быть предоставлены как есть, или они могли быть получены из
an SDTID файл RSA Конвертер токенов программу.
com.rsa.securid.iphone: // ctf? ctfData = 229639330774927764401 ...
Строки токенов, совместимые с iPhone.
http://127.0.0.1/securid/ctf? ctfData = 250494932146245277466 ...
http://127.0.0.1/securid/ctf? ctfData = AwAAfBc3QSopPxxjLGnxf ...
Строки токенов, совместимые с Android.
<?xml версия = ...
RSA SDTID-форматированные файлы XML. Их следует импортировать из файла: топленый Импортировать
--file = ФАЙЛ.SDTID.
Токены, представленные в виде QR-кодов, можно преобразовать обратно в стандартные URI, запустив збаримг(1)
в файле изображения.
Идентификатор устройства, если он используется, можно просмотреть в меню «О программе» приложения программных токенов RSA на
телефон. Числовые строки ctf и токены смартфонов, привязанные к идентификатору устройства, содержат начальное число
который зашифрован с использованием идентификатора устройства, поэтому идентификатор должен быть предоставлен до того, как сток сможет
успешно импортировать токен. SDTID файлы можно импортировать без знания
ID устройства, если известен пароль (если есть).
По умолчанию топленый Импортировать откажется перезаписать существующий токен в ~ / .stokenrc,
--сила переключатель отменяет эту проверку.
топленый Импортировать обычно запрашивает новый пароль, который используется для шифрования семени
перед хранением в ~ / .stokenrc. Это можно обойти, введя пустой пароль или
указав --new-password = '' в командной строке. Рекомендуется выбирать более длинный,
сложно угадать парольную фразу для этой цели.
После импорта токена запускается топленый без аргументов подскажет
требуемый пароль или PIN-код, затем отобразите текущий токен-код.
Токенкоды вычисляются из необработанных (расшифрованных) начальных данных, текущего времени суток и
Контактный. Если одно и то же семя установлено на нескольких устройствах, все они должны производить
идентичные токенкоды. Если это не так, еще раз проверьте настройку часового пояса и подумайте о том,
использование NTP для синхронизации системного времени с заведомо исправным источником.
топленый булавка можно использовать для сохранения PIN-кода в ~ / .stokenrc. Не для всех токенов потребуется
ШТЫРЬ; это может быть настроено администратором SecurID при создании новых токенов.
Установка пустого ПИН-кода приведет к удалению ПИН-кода из ~ / .stokenrc так что пользователь будет
запрашивается каждый раз, когда это необходимо. Увидеть БЕЗОПАСНОСТЬ ОТХОДОВ раздел ниже для
дополнительные детали.
топленый установить пропуск шифрует начальное число и ПИН-код (если есть) в ~ / .stokenrc с пользователем-
выбираемый пароль или кодовую фразу. Если ввести пустой пароль, он будет
удаленный. Увидеть БЕЗОПАСНОСТЬ ОТХОДОВ раздел ниже для получения дополнительных сведений.
VIEWING TOKENS
топленый произошел отображает информацию о текущем токене, обычно считываемую из ~ / .stokenrc.
Команда --семя опция отображает зашифрованные и дешифрованные начальные байты (которые следует обрабатывать
как конфиденциальные данные, поскольку они могут использоваться для получения токен-кодов).
топленый экспорт переводит текущий токен в формат, подходящий для импорта в
другое устройство.
топленый вопрос генерирует новый программный токен в XML SDTID формат. Сам файл шаблона
in SDTID формат, может быть предоставлен для переопределения некоторых или всех удобочитаемых полей.
Это позволит использовать соответствующие серийные номера, даты истечения срока действия, имена пользователей и т. Д.
указано. Если в файле шаблона присутствуют поля Secret, Seed или MAC, они будут
игнорируются.
GLOBAL ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
--rcfile =файл
Используйте альтернативный .stokerc конфигурационный файл. Обычно это используется для поддержки
несколько токенов в учетной записи UNIX одного и того же пользователя. Обратите внимание, что .stokerc файл
хранит дополнительные данные (например, ПИН-код), поэтому их нельзя проанализировать как «сырой» токен.
строка топленый --файл.
--password =password, -p password
Используйте пароль, полученный из командной строки, вместо запроса пользователя. Видеть
заметки в БЕЗОПАСНОСТЬ ОТХОДОВ внизу.
--pin =сосна, -n сосна
Используйте ПИН-код, полученный из командной строки, вместо запроса пользователя. См. Примечания
in БЕЗОПАСНОСТЬ ОТХОДОВ ниже. Если вы сохраните свой PIN-код в ~ / .stokenrc, Обратите внимание, что
--pin = 0000 часто требуется при первой активации нового программного токена.
--devid =Devid
Используйте идентификатор устройства, полученный из командной строки, для расшифровки токена. Токен может
быть привязанным к идентификатору устройства GUID класса (то есть к определенному типу устройства, например "iPhone"
или «Android»), уникальный идентификатор устройства (одно конкретное устройство) или ничего. топленый предусматривает
попытка автоматического определения совпадений с идентификатором GUID класса, но в редких случаях это приводит к
в ложных срабатываниях из-за хеш-коллизий. В этих случаях привязанный идентификатор устройства
должен быть указан в командной строке, чтобы переопределить автоматическое определение.
ЭКСПОРТ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
--new-password =password
Введите пароль шифрования из командной строки для операций, которые записывают
строка токена или .stokerc файл: Импортировать, экспорт, установить пропуски вопрос. См. Примечания в
БЕЗОПАСНОСТЬ ОТХОДОВ внизу.
--keep-пароль
Если токен в .stokerc файл защищен паролем, сохраните тот же
пароль при экспорте токена. По умолчанию экспорт операция не будет
зашифровать токен паролем; обратите внимание, что может быть невозможно ввести все
возможные пароли на устройствах с ограниченными возможностями ввода текста (например, функция
телефоны).
--new-pin =сосна
Введите новый PIN-код из командной строки для булавка операция. См. Примечания в
БЕЗОПАСНОСТЬ ОТХОДОВ внизу.
--new-devid =Devid
Используется с экспорт or вопрос команда для шифрования нового токена определенным
идентификатор устройства. Это используется только в целях тестирования.
--блоки, - iPhone, --андроид, --v3
Используется с экспорт команда для выбора формата вывода. См. Примеры в BASIC
ИСПОЛЬЗОВАНИЕ, По умолчанию экспорт команда напечатает неформатированную строку из 81 символа в
стандартный вывод.
--sdtid, --xml
Эти варианты являются синонимами. Оба экспортируют токен на стандартный вывод в RSA. SDTID
Формат XML.
--qr =файл.png
Закодируйте токен как QR-код и запишите его в файл.png. Это требует qrencode
программа для установки.
--show-qr
Закодируйте токен как QR-код и сразу отобразите его на экране. Этот
требует qrencode программа для установки. Если QR_VIEWER охрана окружающей среды
переменная установлена, топленый будет использовать эту программу как предпочтительную программу просмотра. Иначе
он попытается запустить несколько распространенных программ просмотра изображений Linux и откажется, если ни один из
они существуют.
--template =файл
Используется с экспорт or вопрос команды для переопределения полей в выводе XML. В
файл шаблона должен выглядеть как любой стандартный SDTID файл, но все поля необязательны
и по умолчанию будет использовать разумные значения, если они опущены. Это можно использовать, чтобы заставить
выходной XML-код для использования определенного серийного номера, имени пользователя, срока годности и т. д.
Правильные контрольные суммы MAC будут (повторно) вычислены на основе предоставленных значений. Увидеть
Примеры реализованных проектов каталог в исходном дистрибутиве для получения дополнительной информации.
ДРУГИЕ ДОПОЛНИТЕЛЬНЫЕ ОПЦИИ
--use-time ={unix_time|+смещение|-смещение}
Вместо того, чтобы генерировать токен-код на основе текущего времени дня, принудительно
определенное время или отрегулируйте текущее время на основе положительного или отрицательного смещения
(указывается в секундах). Это используется только в целях тестирования.
--следующий Сгенерируйте следующий токен-код вместо текущего токен-кода. На 60 секунд
токен, это эквивалентно - время использования = + 60.
--стдин, -s
При генерации токен-кода, который требует или пароль или PIN-код, прочтите
пароль или PIN-код в виде одной строки из стандартного ввода. Это предназначено для того, чтобы
внешние программы для вызова топленый для генерации одноразовых паролей без пользователя
вмешательство; видеть НЕИНТЕРАКТИВНЫЙ ИСПОЛЬЗОВАНИЕ внизу.
--сила, -f
Отмена проверки срока действия токена (для токенкод) или проверки перезаписи токена
(для Импортировать).
--партия, -b
Прервать с кодом выхода из ошибки, если требуется какой-либо пользовательский ввод. Предназначен для
автоматизированная эксплуатация и тестирование.
--file =файл
Прочтите строку ctf, URI Android / iPhone или XML SDTID токен из файл вместо
.stokerc конфигурация. Самый топленый команды принимают этот флаг, но это
ожидается, что обычный пользователь сохранит свой токен в ~ / .stokenrc вместо
поставляя его вручную при каждом вызове. Обычно --файл и - жетон только
используется для Импортировать команда.
--token =token_string
Используйте токен из командной строки вместо .stokerc файл. См. Примечания выше
on --файл.
--случайный
Сгенерируйте случайный жетон на лету. Используется только для тестирования или демонстрации.
Эти токены должны использоваться для реальной аутентификации.
--Помогите, -h
Отображение основной информации об использовании.
--версия, -v
Показать информацию о версии.
БЕЗОПАСНОСТЬ ОТХОДОВ
Программные токены, в отличие от аппаратных токенов, относительно легко воспроизвести. Системы, которые
Хранить семена мягких токенов следует тщательно охранять, чтобы предотвратить несанкционированное разглашение.
Для ноутбуков настоятельно рекомендуется использовать шифрование всего диска, такое как TrueCrypt.
и другие портативные устройства, которые легко потерять или украсть.
топленый позволяет пользователям хранить свой PIN-код в ~ / .stokenrc чтобы разрешить автоматизированный (сценарий)
генерация токен-кодов, но риски такого подхода следует тщательно взвесить
против выгод.
Посмотрите на график установить пропуск команда для шифрования семени и ПИН-кода в ~ / .stokenrc дает некоторую степень
защиты от несанкционированного доступа, но не обязательно охватывает все возможные
векторы атаки. Хост, который уже скомпрометирован (например, запускает кейлоггер), не будет
обеспечить адекватную защиту любых семян, хранящихся на нем.
топленый пароли шифрования могут иметь длину до 40 символов. Более длинная кодовая фраза
построенный из нескольких случайных слов, может обеспечить большую защиту от атак грубой силы
чем более короткий пароль.
Ввод пароля или PIN-кода в командной строке обычно небезопасен в многопользовательских системах.
поскольку другие пользователи могут просматривать аргументы командной строки в ps или аналогичные утилиты.
Командную строку можно также кэшировать в файлах истории оболочки.
Кодирование QR-токенов может раскрыть начальные данные через ps, и --show-qr вариант пишет
временные файлы PNG в / Tmp.
топленый пытается заблокировать страницы, чтобы предотвратить загрузку на диск, но не очищает секреты
из памяти процесса.
НЕИНТЕРАКТИВНЫЙ ИСПОЛЬЗОВАНИЕ
Другие приложения, такие как клиенты VPN, могут захотеть вызвать топленый не интерактивно
генерировать одноразовые пароли. Поддерживаются три режима использования, в зависимости от уровня
безопасность (и / или удобство), которая требуется:
Нет password or PIN-код
Пользователь настраивает топленый чтобы распечатать токен-код сразу после вызова, без
подсказки, используя булавка сохранить PIN-код в ~ / .stokenrc и использование установить пропуск установить пустой
пароль. Другое приложение может затем вызвать топленый --партия и прочтите код токена
через трубу со стандартного выхода.
Это не обеспечивает безопасности для семян, но может быть полезно в приложениях, где
(повторная) аутентификация является частой или требуется автоматическая операция.
Сохранено PIN-код и набор a password
Пользователь настраивает топленый зашифровать ~ / .stokenrc секреты с паролем с использованием
установить пропуск, затем сохраняет PIN-код с помощью булавка. ПИН-код и семя будут зашифрованы с помощью
пароль. Другое приложение запросит пароль у пользователя, а затем позвонит
топленый --стдин, напишите пароль на топленыйстандартный ввод через канал и прочтите
вернуть токен-код из топленыйстандартный вывод.
Нет пароль; подсказка для PIN-код
Как и выше, но установите пустой пароль, используя установить пропуск, не сохраняйте PIN-код в
~ / .stokenrc, и передайте PIN-код топленый --стдин через стандартный ввод.
Используйте стокен онлайн с помощью сервисов onworks.net
