Це команда dacsgrid, яку можна запустити в безкоштовному хостинг-провайдері OnWorks за допомогою однієї з наших безкоштовних онлайн-робочих станцій, таких як Ubuntu Online, Fedora Online, онлайн-емулятор Windows або онлайн-емулятор MAC OS
ПРОГРАМА:
ІМ'Я
dacsgrid - адміністрування одноразових паролів на основі мережі
СИНТАКСИС
dacsgrid [dacsoptions[1]] [- виклик] [-клен Num] [-копія vfs_uri]
[-гр знак] [-видалити] [- вимкнути] [-увімкнути] [-enc виклик] [-термін дії закінчився]
[-плоска] [-get] [- сітка вул] [-h | -допомога] [-html] [-htmlcss]
[-інкейси item_type] [-час життя днів] [-список] [-довго] [-кол Num]
[-nrows Num] [-вихідні ключі item_type] [-Полюсні [Num]] [-оновити] [-рнд] [- насіння вул]
[-серійний] [-набір] [-розмір] [-тест] [- текст] [-підтвердити виклик відповідь]
[-vfs vfs_uri]
ОПИС
Ця програма є частиною DACS на.
Команда dacsgrid утиліта надає програмні одноразові паролі для DACS ідентифікація
використання архітектури виклик-відповідь. Він керує обліковими записами, якими користуються
local_grid_authenticate[2] модуль автентифікації. Ці рахунки повністю окремі
з облікових записів, якими користується local_passwd_authenticate[3] або будь-який інший DACS ідентифікація
модуль
dacsgrid створює прямокутну сітку комірок. Кожна клітинка складається з літери, що супроводжується
цифрою, за якою йде літера, що дає 6,760 (26*10*26) можливих трьох символів
рядки. Вміст кожної комірки генерується з криптографічно надійних
псевдовипадкові байти. Максимальний розмір сітки становить 99 рядків на 26 стовпців, а мінімальний розмір сітки
розмір — 3 на 3. Стовпці позначені від A до Z, а рядки — від 1 до
99. Для рекомендованих розмірів сітки дуже ймовірно, що кожна згенерована сітка є такою
унікальний і, отже, кожному користувачеві буде призначено окрему сітку.
Ось сітка 10x10 (розмір за замовчуванням):
ABCDEFGHIJ
1 x7m p7m k4c q9s q2k d9l s5m r8c y3v g2m
2 o0c t6h q7k l3w p8a q3e b9c l0w z8y c8v
3 v8n n1w r6i i0g e9y q1n p0g g9v x4y c5u
4 z8a o9d l1e e8n u8z h3y p2s b9z c6w d5f
5 x8y o2a y4g d9i s4p c9n c1e m5z o6j m0f
6 p2s x4c a2x p4f w7y b8k e6c q9g q5v s4z
7 b8k r4s r2p z5x v3e s0h h5l z6y e9o g6m
8 r5x m4r a1w f8c f5g l2z q7j r4m w0c x9a
9 p7s r3g i7c p8a t5x c4h h0k k9d i7k r9n
10 w4l v0a p9g i0l v2n b8h v9j s0y r3k v0m
Serial: 2497a62a83ad4bc4
Створено: понеділок, 14 серпня, 10:25:03 2006 PDT
Комірка ідентифікується міткою стовпця (буква), за якою йде мітка рядка (число);
наприклад, у наведеному вище прикладі клітинка F6 має значення b8k.
Кожній сітці присвоюється випадковий (і, ймовірно, унікальний) рядок ідентифікації (позначений
«Serial» у прикладі вище); цей рядок зберігається на сервері з іншою сіткою
облікові дані. Це може бути відображено юрисдикцією під час входу в систему як спосіб
автентифікація для користувача за умови збереження конфіденційності (одним із підходів може бути
щоб кожна зі сторін надала іншу половину ідентифікаційного рядка
інший).
Під час автентифікації користувачеві пропонується випадково згенероване завдання
підходить для сітки користувача. Завдання відображається користувачеві; наприклад, "A3, C9,
B1, F9". Також може відображатися серійний номер сітки або його частина. Користувач
повинен переглянути свою сітку, щоб знайти кожну клітинку для даного завдання та ввести їх
вміст як пароль. Літери нечутливі до регістру, пробіли, табуляції та коми – також
ігнорується. Для сітки та завдання вище користувач повинен ввести наступні символи
як пароль:
v8ni7cp7mc4h
Зауважте, що виклик може запитувати ту саму комірку кілька разів.
Завдання є дійсним протягом певного періоду часу, після якого воно більше не може бути дійсним
використовується для аутентифікації; побачити AUTH_GRID_CHALLENGE_SECS[4].
Щоб оцінити, якою тривалістю має бути виклик, припустимо, що обрано паролі, вибрані користувачем
випадковим чином і рівномірно з приблизно 100 символів, доступних на клавіатурі. Це
дуже щедре припущення, яке рідко реалізується на практиці. Завдання чотирьох
комірок є набагато сильнішим, ніж вибраний користувачем пароль із шести символів (69604 проти 1006)
і виклик сітки з п'яти комірок набагато сильніший, ніж обраний користувачем пароль з дев'яти
символів (69605 проти 1009). У порівнянні з типовими паролями користувачів, однак, сітка
Проблема з трьома клітинками, мабуть, така ж сильна, як обраний користувачем пароль із семи або
вісім символів.
Доступ до сіток здійснюється через DACS віртуальне сховище файлів з використанням типу елемента auth_grid. Це є
припускається, що дозволи на файли в базі даних сіток такі, що весь доступ обмежений
до адміністратора і local_grid_authenticate.
Після настроюваного періоду виконання сітка закінчується, і її не буде прийнято
цілей автентифікації local_grid_authenticate (Див. AUTH_GRID_LIFETIME_SECS[5]) або
dacsgrid (Див. -час життя). Термін дії сітки може залежати від кількох факторів,
наприклад, як часто він використовується в юрисдикції, кількість комірок у сітці,
необхідний рівень безпеки або наскільки складно чи дорого розповсюджувати мережу
його користувач.
Під час створення сітки, dacsgrid можна пов’язати з ним довільно вибраний PIN-код. А
PIN-код, який діє як додатковий пароль, складається з послідовності літера-цифра-літера
клітини. Довжина PIN-коду за замовчуванням із двох клітинок (6 символів) може бути замінена командою
лінія. Якщо користувач отримав PIN-код, його слід ввести на початку
відповідь користувача на виклик безпосередньо перед вмістом першої клітинки
виклик введено.
Безпека
При правильному використанні цей метод автентифікації може бути відносно безпечним. Головний
Проблема полягає в тому, що важливо, щоб сітки та PIN-коди поширювалися серед користувачів через a
досить безпечний спосіб; наприклад, надрукувавши їх і надіславши друковану копію безпосередньо до
користувача або за допомогою існуючих захищених каналів. Кожен користувач повинен розуміти, що таке сітка
являє собою, по суті, список паролів і, відповідно, повинен зберігатися в секреті під час його
термін дії. Коли використовуються PIN-коди, вони повинні розповсюджуватися за допомогою безпечного каналу
відрізняється від тієї, що використовується для розподільчих мереж. Залишилося, як відбувається цей розподіл
до DACS адміністратор
Інформація шифрується перед записом у файл облікового запису мережі. За замовчуванням,
тип елемента віртуального сховища файлів auth_grid_keys визначає ключі шифрування для використання;
-інкейси та -вихідні ключі прапорці визначають альтернативи (див dacskey(1)[6]). Файл
дозволи повинні бути встановлені так, щоб ключі шифрування могли читати лише користувачі dacsgrid. Якщо
ключі шифрування втрачені, записи облікового запису практично неможливо відновити.
Тільки ті DACS адміністратор повинен мати можливість успішно запускати цю програму з
командний рядок. Тому що DACS ключі та файли конфігурації, включаючи файл, який використовувався для
облікові записи магазину мають бути обмежені адміністратором, як правило, це буде
але уважний адміністратор встановить права доступу до файлу, щоб заборонити доступ усім
інші користувачі.
Цей метод аутентифікації має такі переваги:
· Кожного разу, коли користувач автентифікується, запитується інший пароль (з високим
ймовірність)
· Потрібний пароль невідомий до автентифікації, тому користувач не може
повідомте комусь інший його пароль, окрім того, щоб поділитися всією сіткою (і
ПІН, якщо є)
· Оскільки пароль навряд чи буде легко вгадати словом або фразою, він має бути таким
надійніше, ніж пароль, вибраний користувачем
· Якщо на комп’ютері користувача встановлено сніффер ключів, знятий пароль – ні
принесе користь зловмиснику, оскільки його навряд чи буде повторно використано. Якщо
відповідний виклик також може бути отриманий зловмисником, наприклад через a
фішингової атаки, буде розкрито частину сітки
· Довжина виклику (яка визначає довжину пароля) становить
налаштовується адміністратором і може бути змінено за бажанням
· Адміністратор може легко змінювати сітку користувача настільки часто, наскільки це можливо
· Спосіб дешевший, ніж апаратні одноразові паролі, за умови поширення
витрати низькі
Цей метод автентифікації має такі потенційні недоліки:
· Метод автентифікації за своєю суттю є інтерактивним, оскільки пароль невідомий
a апріорі, хоча це не гарантує, що користувач фізично присутній
· Для розповсюдження сіток і PIN-кодів потрібні захищені канали
· Сітку автентифікації можна легко скопіювати, тому її найкраще використовувати в поєднанні з нею
PIN-коди або принаймні один інший метод автентифікації; проблема збереження сіток
секрет у всіх ситуаціях є основною причиною, чому метод не такий сильний, як
методи на основі апаратних маркерів, які важче скопіювати і які можна захистити
PIN-код. Цей метод найкраще використовувати в ситуаціях, коли сітки малоймовірно
вкрадені, легко скопійовані або навіть розпізнані, наприклад для віддаленого доступу.
Цей метод автентифікації знаходиться десь між формою «щось, що ви знаєте» та
форма "щось у вас є". Можна запам'ятати меншу сітку, вставивши її в неї
перша категорія, але мало хто здатний запам'ятати велику сітку, що робить її
необхідно мати при собі копію. Використання PIN-кодів забезпечує щось ближче до
двофакторна автентифікація та посилює метод, оскільки захоплена сітка не є безпосередньою
придатний до використання.
Примітка:
Різним користувачам можна призначати сітки різного розміру. Запобігати
створення виклику, який неможливо задовольнити, коли виклик є
або відповідна сітка повинна мати розмір за замовчуванням, розміри
необхідно вказати сітку або вказати ім’я користувача.
ВАРІАНТИ
Крім стандартних dacsoptions[1], наступні прапорці командного рядка
визнано:
- виклик
Подайте випадковий виклик. Якщо ім'я користувача було вказано, виклик відповідного розміру буде
вироблятися; в іншому випадку, якщо розміри сітки були вказані, відповідне завдання
буде виготовлено; інакше під час створення a буде використано стандартні розміри сітки
виклик
-клен Num
Встановіть тривалість виклику на Num клітини. Мінімальна довжина — 3 клітинки, стандартна
довжина 4 клітини.
-копія vfs_uri
Скопіюйте вхідні сітки до сіток, указаних у vfs_uri, видаляючи всі наявні
зміст.
-гр знак
Розшифруйте маркер виклику, створений -enc параметр і роздрукуйте його.
-видалити
Видалити обліковий запис для ім'я користувача.
- вимкнути
Вимкнути вхід для ім'я користувача. Має на увазі -набір.
-увімкнути
Увімкнути вхід для ім'я користувача. Має на увазі -набір.
-enc виклик
Зашифрувати виклик (зазвичай створений - виклик параметр) і роздрукуйте його. The
Для цього використовується тип елемента federation_keys, що означає будь-яку юрисдикцію
у федерації можуть розшифрувати виклик.
-термін дії закінчився
Перелічіть лише сітки, термін дії яких минув, відносно терміну дії сітки. Має на увазі -список.
-плоска
Надрукуйте сітку в короткому текстовому представленні, яка складається з трьох
поля, розділені комами: серійний номер, прапорець увімкнено/вимкнено (ненульове означає
увімкнено), сітка (як упорядкована послідовність рядків, розділених пробілами), PIN-код (або нуль, якщо
немає PIN-коду) і дату створення (як кількість секунд після епохи).
-get
Отримати сітку для ім'я користувача і зробити її «поточною» сіткою для відображення.
- сітка вул
зробити вул, сітка у зведеному зображенні, «поточна» сітка для відображення
цілей або -набір прапор
-h
-допомога
Відобразити довідкове повідомлення та вийти.
-html
Видавати сітку як фрагмент документа HTML.
-htmlcss
Вивести сітку як фрагмент HTML-документа з CSS.
-інкейси item_type
Для розшифровки даних облікового запису використовуйте магазин, визначений за item_type.
-час життя днів
Розглянемо термін служби сіток днів днів. Сітки не мають фіксованого терміну служби;
фіксується лише дата їх створення. Тривалість за замовчуванням становить 7 днів.
-список
список ім'я користувача, якщо вказано, інакше всі імена користувачів.
-довго
Створення більш детального списку. Має на увазі -список.
-кол Num
Встановіть кількість стовпців сітки Num, що становить від 3 до 26. Це використовується, коли
створення сіток і викликів.
-nrows Num
Встановіть кількість рядків сітки Num, що становить від 3 до 99. Це використовується, коли
створення сіток і викликів.
-вихідні ключі item_type
Для шифрування інформації облікового запису використовуйте сховище, визначене за item_type.
-Полюсні[Num]
Якщо не вказано іншу операцію, надрукуйте PIN-код, якщо такий є, для ім'я користувача, З -набір
прапорець, створити новий PIN-код для ім'я користувача. Якщо невід’ємне ціле число додається до
прапор (наприклад, -pin0, -pin4), довжина PIN-коду (в одиницях комірки) встановлюється на це число за допомогою
щодо створення PIN-коду. Стандартна довжина PIN-коду становить 2 клітинки. Встановлення довжини PIN-коду
до нуля вимикає генерацію PIN-коду.
-оновити
Якщо ім'я користувача задано, створіть нову сітку для цього користувача. Якщо ні ім'я користувача дається,
створити нову сітку для кожного користувача, який уже має сітку. Будь-яка наявна сітка
негайно стає недійсним. Усі ці сітки матимуть однакові розміри. Якщо
- сітка надається прапор, він ігнорується. За замовчуванням будь-який існуючий PIN-код зберігається. Старий
статус сітки увімкнено/вимкнено зберігається. Якщо -Полюсні вказано новий PIN-код
генеруватися; якщо -pin0 надається, проте нові сітки не матимуть PIN-коду.
-рнд
Зарезервовано для подальшого використання.
- насіння вул
Зарезервовано для подальшого використання.
-серійний
Надрукуйте порядковий номер поточної сітки.
-набір
Встановити або замінити сітку для ім'я користувача.
-розмір
Відображення розмірів сітки за допомогою прапорців командного рядка -кол та -nrows.
Має на увазі -список.
-тест
Надішліть сітку та виклик, запит із відповіді та перевірте відповідь.
- текст
Випустіть гарно надруковану сітку.
-підтвердити виклик відповідь
стверджувати відповідь проти виклик.
-vfs vfs_uri
Замість використання типу елемента auth_grid, щоб вказати, з якими сітками діяти, використовуйте vfs_uri
(Див VFS[7] директива конфігурації).
Дія за замовчуванням — відображення поточної сітки. Крім повідомлень про помилки, які є
друкується зі стандартною помилкою, увесь вивід надходить у стандартний вивід.
Як правило, а dacsoption буде вказано для вибору юрисдикції, від імені якої
створюються сітки.
ПРИКЛАДИ
У цих прикладах припускається, що назва юрисдикції – EXAMPLE, а домен – EXAMPLE
example.com.
Щоб використовувати цей метод автентифікації, a DACS адміністратор виконає такі дії:
· Ознайомившись із тим, як працює метод, вирішіть, наскільки безпечними будуть сітки
розповсюджені користувачам, виберіть параметри сітки, вирішіть, чи використовуватимуться PIN-коди та
як вони будуть безпечно розподілятися, і визначити графік оновлення сіток
(і, можливо, PIN-коди).
· Вирішіть, де будуть зберігатися сітки, і додайте відповідну директиву VFS до dacs.conf,
Наприклад:
VFS "[auth_grid]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/grids"
· Згенеруйте ключі, вирішіть, де вони будуть зберігатися, і додайте відповідну директиву VFS
dacs.conf, наприклад (ваш ідентифікатор користувача, ідентифікатор групи та шлях можуть відрізнятися):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj ПРИКЛАД -q auth_grid_keys
% chgrp www auth_grid_keys
% chmod 0640 auth_grid_keys
VFS "[auth_grid_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_grid_keys"
· Налаштуйте відповідне положення Auth у dacs.conf, наприклад:
URL-адреса "https://example.com/cgi-bin/dacs/local_grid_authenticate"
СТИЛЬ "пас"
КОНТРОЛЬ "достатньо"
· Для кожного користувача, який зможе автентифікуватися за допомогою цього методу: a) згенеруйте a
сітка потрібних розмірів з ПІН або без (за бажанням); б) отримати
сітку в найбільш підходящому форматі та передати її власнику; і c) якщо є PIN-код,
отримати PIN-код і передати його власнику.
· Оновіть сітку (і, за бажанням, PIN-код) за розкладом і надайте користувачеві
замінна сітка.
Щоб створити та відобразити сітку (але не створити обліковий запис):
% dacsgrid -uj ПРИКЛАД
Щоб створити сітку розмірів за замовчуванням і призначити її імені користувача bobo (замінивши будь-яке
існуюча сітка для цього користувача):
% dacsgrid -uj ПРИКЛАД -set bobo
Щоб створити сітку 6x6 і призначити її імені користувача bobo (замінивши будь-яку існуючу сітку):
% dacsgrid -uj ПРИКЛАД -nrows 6 -ncols 6 -set bobo
Щоб отримати та надрукувати сітку (як HTML) для імені користувача bobo:
% dacsgrid -uj ПРИКЛАД -get -html bobo
Щоб відобразити PIN-код для імені користувача bobo:
% dacsgrid -uj ПРИКЛАД -pin bobo
Статус виходу буде ненульовим, якщо цей користувач не має сітки або якщо сітки немає
мати PIN-код.
Щоб скопіювати поточний набір сіток у файл /secure/grids:
% dacsgrid -uj ПРИКЛАД -копіювати "dacs-kwv-fs:/secure/grids"
Щоб оновити альтернативний набір сіток у файлі /secure/grids:
% dacsgrid -uj ПРИКЛАД -копіювати "dacs-kwv-fs:/secure/grids"
% dacsgrid -uj ПРИКЛАД -vfs "dacs-kwv-fs:/secure/grids" -refresh
Приклад сценарію оболонки, який генерує мінімальну сторінку входу HTML для автентифікації сітки
входить до розповсюдження. Припускається, що всі сітки мають розмір за замовчуванням.
Якщо різні користувачі можуть мати сітки різного розміру, або за бажанням юрисдикції
відображати серійний номер сітки користувача як форму юрисдикційної автентифікації, а потім
Процедура входу повинна визначити ім'я користувача, перш ніж вона зможе отримати виклик або серійний номер
номер.
Використовуйте dacsgrid онлайн за допомогою сервісів onworks.net
