Dies ist der Befehl dacstoken, der beim kostenlosen Hosting-Anbieter OnWorks mit einer unserer zahlreichen kostenlosen Online-Workstations wie Ubuntu Online, Fedora Online, dem Windows-Online-Emulator oder dem MAC OS-Online-Emulator ausgeführt werden kann
PROGRAMM:
NAME/FUNKTION
dacstoken – Hash-basierte Einmalpasswörter verwalten
ZUSAMMENFASSUNG
dacstoken [dacsoptionen[1]] [-alles] [-Base num] [-Zähler num] [-Ziffern num]
[-deaktivieren | -aktivieren] [-Hotp-Fenster num] [-inkeys Gegenstandsart]
[[-Schlüssel Schlüsselwort] | [-Schlüsseldatei Dateinamen] | [-key-prompt]] [-Modus OTP-Modus]
[-outkeys Gegenstandsart]
[[-Pin pinval] | [-pin-Datei Dateinamen] | [-pin-prompt]] [-Pin-Einschränkungen str]
[-rnd] [-Samen str] [-Serie str] [-totp-delta num] [-totp-drift Windows]
[-totp-hash alg]
[-totp-Zeitschritt Sekunden] [-vfs vfs_uri] [Betriebsspezifikation] [Benutzername]
BESCHREIBUNG
Dieses Programm ist Teil des DACS Suite.
Das dacstoken Dienstprogramm verwaltet DACS Konten, die mit einem Einmalpasswort (OTP) verknüpft sind
Erzeugungsgeräte (Token) oder softwarebasierte Clients. Mithilfe von Befehlszeilenoptionen funktioniert es auch
berechnet OTP-Werte; Token-Kontoparameter können überschrieben werden, Konten sind jedoch nicht gerade
erforderlich.
Eine starke Zwei-Faktor-Authentifizierung kann bereitgestellt werden, wenn dacs_authenticate[2] ist konfiguriert
zu verwenden, die local_token_authenticate[3] Authentifizierungsmodul oder wann dacstoken wird verwendet als
ein eigenständiges Programm zur Validierung von Passwörtern. Sowohl der HMAC-basierte Einmalpasswortmodus
(HOTP), basierend auf einem Ereigniszähler und spezifiziert durch RFC 4226[4] und die zeitbasierte
Einmalpasswortmodus (TOTP), wie im angegeben neueste IETF Internet-Entwurf[5] Vorschlag,
unterstützt. Zusätzliche Betriebs- Modi[6] namens OCRA (EID Challenge-Antwort
Algorithms), beschrieben in einem IETF Internet-Draft, werden noch nicht vollständig unterstützt.
Note
Diese Version von dacstoken enthält viele Änderungen, die nicht abwärtskompatibel sind
mit Version 1.4.24a und früher. Einige Befehlszeilenflags funktionieren anders und
Das Format der Kontodatei hat sich geändert. Wenn Sie diesen Befehl bereits früher verwendet haben
Erstellen Sie bitte eine Sicherungskopie Ihrer Token-Kontodatei und lesen Sie dieses Handbuch
Seite sorgfältig durch, bevor Sie fortfahren (beachten Sie die -Konvertieren Flag[7] im Besonderen).
Wichtig
Es ist keine vom Anbieter bereitgestellte Software erforderlich dacstoken um seine Funktionalität bereitzustellen. Der
Derzeit unterstützte Geräte erfordern keine Registrierung oder Konfigurationsinteraktion
mit Anbietern und dacstoken die nicht interagieren mit Anbieter Server or - jedem
Eigentums- Software.. Für die Ausführung ist möglicherweise vom Anbieter bereitgestellte Software erforderlich
Initialisierung oder Konfiguration für andere Token-Geräte jedoch und dacstoken die
ihnen keine solche Unterstützung bieten.
Jedes Token-Gerät entspricht im Allgemeinen genau einem Konto, das von verwaltet wird
dacstoken, obwohl einige Anbieter Token herstellen, die mehrere Konten unterstützen können.
Zusammenfassend lässt sich sagen, dass dieses Dienstprogramm:
· erstellt und verwaltet DACS Konten, die mit zählerbasierten und zeitbasierten Konten verbunden sind
Einmalpasswörter
· bietet Validierungs- und Testfunktionen
· bietet eine Befehlszeilenauthentifizierungsfunktion
Sicherheit
Nur der DACS Der Administrator sollte in der Lage sein, dieses Programm erfolgreich auszuführen
Befehlszeile. Weil DACS Schlüssel und Konfigurationsdateien, einschließlich der dazu verwendeten Datei
Store-Konten müssen auf den Administrator beschränkt sein, normalerweise ist dies der
In diesem Fall wird ein sorgfältiger Administrator die Dateiberechtigungen jedoch so festlegen, dass allen der Zugriff verweigert wird
andere Benutzer.
Note
Das dacs_token(8)[8] Der Webservice bietet Benutzern eingeschränkten Self-Service
Funktionalität zum Festlegen oder Zurücksetzen ihrer Konto-PIN und zum Synchronisieren ihres Tokens. Es auch
verfügt über einen Demonstrationsmodus, um das Testen und Auswerten zu vereinfachen.
PINs (Konto Passwörter)
A dacstoken Dem Konto kann optional eine PIN (dh ein Passwort) zugeordnet sein. Zu
Um sich bei einem solchen Konto zu authentifizieren, muss ein Benutzer das erstellte Einmalpasswort angeben
durch den Token und der Stecker. Der TOKEN_REQUIRES_PIN[9] Konfigurationsanweisung bestimmt
ob beim Erstellen oder Importieren eines Kontos eine PIN angegeben werden muss; es gilt nicht in
in Verbindung mit dem -delpin Flag, da nur ein Administrator in der Lage sein sollte, dies auszuführen
diese Funktion.
Im Kontodatensatz wird anstelle der PIN selbst ein Hash der PIN gespeichert. Das gleiche
Methode verwendet von dacspasswd(1)[10] und dacs_passwd(8)[11] wird angewendet und hängt von der ab
PASSWORD_DIGEST[12] und PASSWORD_SALT_PREFIX[13] Richtlinien in Kraft. Wenn
PASSWORD_DIGEST[12] konfiguriert ist, wird dieser Algorithmus verwendet, andernfalls eine Kompilierzeit
Standardwert (SHA1) wird verwendet. Wenn ein Benutzer die PIN vergisst, kann die alte nicht wiederhergestellt werden
muss entweder gelöscht oder ein neuer gesetzt werden.
Einige Token-Geräte verfügen über eine integrierte PIN-Funktion. Der Benutzer muss eine PIN eingeben
das Gerät, bevor das Gerät ein Einmalpasswort ausgibt. Diese „Geräte-PIN“ lautet
völlig verschieden von der Konto-PIN, die von verwaltet wird dacstoken, und dieses Handbuch ist
nur mit dem beschäftigt dacstoken STIFT. Nach Möglichkeit sollte immer die Geräte-PIN verwendet werden;
dacstoken Eine PIN wird dringend empfohlen und ist für die Zwei-Faktor-Authentifizierung erforderlich
(es sei denn, ein zusätzlicher Authentifizierungsfaktor wird auf andere Weise angewendet).
Da nur der Administrator diesen Befehl ausführen darf, bestehen keine Einschränkungen
von der Länge oder Qualität der vom Administrator bereitgestellten PINs; eine Warnmeldung
wird jedoch ausgegeben, wenn das Passwort als schwach eingestuft wird
PASSWORD_CONSTRAINTS[14] Richtlinie.
Einmal Passwörter
Beide Arten von Einmalpasswortgeräten berechnen einen Passwortwert mithilfe eines sicheren Passworts
Keyed-Hash-Algorithmus (RFC 2104[15] FIPS 198[16]). Bei der zählerbasierten Methode ist das Gerät
und der Server teilen sich einen geheimen Schlüssel und einen Zählerwert, die gehasht werden, um einen numerischen Wert zu erhalten
Wert, der in einer bestimmten Basis mit einer bestimmten Anzahl von Stellen angezeigt wird. Erfolgreich
Für die Authentifizierung müssen Gerät und Server übereinstimmende Passwörter berechnen. Jedes Mal
Wenn das Gerät ein Passwort erzeugt, erhöht es seinen Zähler. Wenn der Server eine Übereinstimmung erhält
Passwort, erhöht es seinen Zähler. Weil es möglich ist, dass die beiden Zähler werden
unsynchronisiert, lässt der Abgleichsalgorithmus des Servers normalerweise das Passwort eines Clients zu
in ein „Fenster“ von Zählerwerten fallen. Die zeitbasierte Methode ist ähnlich, die Hauptsache
Der Unterschied besteht darin, dass die aktuelle Unix-Zeit (wie zurückgegeben von Zeit(3)[17] zum Beispiel) ist
Wird verwendet, um ein „Zeitschrittfenster“ festzulegen, das als Zählerwert bei der Berechnung dient
des sicheren Hashs. Weil die Echtzeituhren auf dem Gerät und dem Server möglicherweise nicht stimmen
ausreichend synchronisiert ist, muss der Matching-Algorithmus des Servers auch den eines Clients zulassen
Das Kennwort muss für diese Geräte in eine bestimmte Anzahl von Zeitschrittfenstern fallen.
Sicherheit
Einem Token kann von ihm ein permanenter geheimer Schlüssel (manchmal auch OTP-Seed genannt) zugewiesen werden
Hersteller oder der Schlüssel kann programmierbar sein. Dieser geheime Schlüssel wird von den Token verwendet
Das Verfahren zur Passwortgenerierung muss unbedingt geheim gehalten werden. Wenn das Token
nicht programmierbar ist, wird der Schlüssel vom Anbieter bezogen (normalerweise für ein HOTP-Token).
durch Angabe der Seriennummer des Geräts und drei beliebige aufeinanderfolgende Passwörter). Ein Rekord
Die Aufzeichnungen jeder Zuordnung von der Seriennummer zum geheimen Schlüssel sollten an einem sicheren Ort aufbewahrt werden.
Wenn der geheime Schlüssel programmierbar ist, wie es bei einem Software-Client wahrscheinlich der Fall ist, ist er es
muss mindestens sein 128 Bits in der Länge; ein Minimum von 160 Bits ist empfohlen. Der
Der Schlüssel wird durch eine 16 (oder mehr) Zeichen lange hexadezimale Zeichenfolge dargestellt. Der Schlüssel sollte
aus einer Quelle von Zufallsbits mit kryptografischer Qualität erhalten werden. Einige Kunden mögen es sein
ist in der Lage, einen geeigneten Schlüssel zu generieren, Sie können ihn aber verwenden dacsexpr(1)[18]:
% dacsexpr -e "random(string, 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
Tipp
Token können für andere Authentifizierungszwecke als die Anmeldung am Computer verwendet werden. Für
Durch die Angabe einer Kontonummer, einer PIN und eines Token-Werts können Kunden dies beispielsweise schnell tun
über das Telefon authentifiziert werden, wodurch der Bedarf an teuren und reduzierten Kosten reduziert oder ganz eliminiert wird
zeitraubende Sicherheitsfragen.
Geräte und Anwendungen mit Einmalpasswort verfügen über die folgenden Betriebsparameter.
Diese Parameter bestimmen die generierte Passwortsequenz. Einige betriebsbereit
Parameter können festgelegt sein (durch den entsprechenden Standard oder aufgrund der Implementierung), während
andere können teilweise oder vollständig vom Benutzer konfiguriert werden. Bitte wende dich an die
Weitere Informationen finden Sie in den Referenzen und in der Herstellerdokumentation.
Base
Die Basis, in der Passwörter angezeigt werden.
Zähler
Nur im HOTP-Modus der aktuelle Zählerwert.
Ziffern
Die Anzahl der Ziffern in jedem Einmalpasswort.
Schlüssel
Der geheime Schlüssel (OTP-Seed).
Seriennummer
Eine eindeutige Kennung oder ein eindeutiger Name für das Gerät.
Zeitschrittgröße
Nur für den TOTP-Modus: die Breite jedes Zeitintervalls in Sekunden. Das gleiche Passwort
wird innerhalb eines bestimmten Intervalls generiert; Das heißt, dies ist die „Lebensdauer“ oder Gültigkeit
Zeitraum jedes TOTP-Passworts.
Zusätzlich zu diesen Parametern dacstoken verwendet mehrere pro Konto (d. h. pro Gerät)
Parameter:
Akzeptieren-Fenster
Bei der Validierung eines HOTP-Passworts ist die maximale Anzahl an Passwörtern, die nach dem Validieren berücksichtigt werden sollen
erwartetes Passwort.
treiben
Nur für den TOTP-Modus: die Anzahl der Sekunden, um die die Uhr des Servers angepasst werden soll
vorwärts oder rückwärts, um es besser mit dem Gerät zu synchronisieren. Das ist gewohnt
Kompensieren Sie Token oder Client-Software, deren Uhren nicht gut synchronisiert sind
des Servers.
Driftfenster
Nur für den TOTP-Modus, aber analog zum Accept-Window, die maximale Anzahl von
Intervalle (jeweils die Zeitschrittgröße), um bei der Validierung vorwärts und rückwärts zu suchen
gegen ein vorgegebenes Passwort.
sync-otps
Nur für den HOTP-Modus: die Anzahl aufeinanderfolgender Einmalkennwörter, die erforderlich sind
Synchronisieren Sie das Konto mit dem Gerät.
Benutzername
Der Name des DACS Konto an das Gerät gebunden.
Die Authentifizierung auf Basis von Einmalpasswortgeräten bietet folgende Vorteile:
· Jedes Mal, wenn sich ein Benutzer authentifiziert, wird ein anderes Passwort generiert (mit hoch
Wahrscheinlichkeit); Benutzer können daher „das Passwort“ nicht notieren, da das Passwort vorhanden ist
immer in Veränderung; Benutzer können ihr Passwort nicht vergessen;
· Sobald ein Passwort für den HOTP-Modus verwendet wird, wird es sofort „verbraucht“ und es ist unwahrscheinlich, dass es verwendet wird
wieder für eine lange Zeit; mit geeigneten Konfigurationsparametern, einem TOTP-Modus-Passwort
innerhalb eines relativ kurzen Zeitintervalls automatisch „abläuft“ und es ist unwahrscheinlich, dass dies der Fall sein wird
längere Zeit wieder verwendet;
· Wenn keine Korrektur der Taktabweichung erforderlich ist, kann ein TOTP-Modus-Konto schreibgeschützt sein
Betrieb;
· Da das Passwort wahrscheinlich keine leicht zu erratende Zahl oder Zeichenfolge ist, sollte dies der Fall sein
stärker sein als die meisten vom Benutzer ausgewählten Passwörter;
· Ein HOTP-Token kann die Grundlage einer gegenseitigen („bidirektionalen“) Authentifizierungsmethode sein; Die
Der Server zeigt dem Benutzer das nächste Passwort seines Tokens, um seine Identität zu bestätigen (mit beiden
Wenn die Parteien ihre Zähler weiterbewegen, zeigt der Client dem Server das nächste Passwort an
um seine Identität zu bestätigen;
· Sollte ein Key-Sniffer auf dem Computer des Benutzers installiert sein, ist dies bei einem erschnüffelten Passwort nicht der Fall
einem Angreifer etwas Gutes tun, es sei denn a der Mann in der Mitte Attacke[19] ist möglich; gegeben N
Bei aufeinanderfolgenden Passwörtern ist es immer noch sehr schwierig, Passwörter zu berechnen N + 1 ohne
Kenntnis des geheimen Schlüssels;
· Es ist für Benutzer schwieriger, ein Konto zu teilen (obwohl dies manchmal der Fall sein kann).
empfinden Sie dies als eine Unannehmlichkeit);
· Wenn eine dacstoken Einem Konto wird eine PIN zugewiesen und ein Angreifer erbeutet die des Kontos
Token ist es für den Angreifer immer noch schwierig, sich ohne Kenntnis der PIN zu authentifizieren;
· Eine schnelle und sofort wirksame Möglichkeit, ein Konto zu deaktivieren, besteht darin, einfach ein Konto zu sperren
Hardware-Token (z. B. wenn ein Mitarbeiter entlassen wird), obwohl ein Konto durch deaktiviert werden kann
dieses Programm oder mit dem Widerruf Liste[20]
· Im Falle eines Software-Clients, der auf einem mobilen Gerät wie einem Telefon oder PDA läuft,
Benutzer tragen das Gerät bereits bei sich; Kostenlose Clients sind verfügbar, also da
Möglicherweise fallen keine zusätzlichen Kosten an (beachten Sie, dass mobile Geräte möglicherweise nicht dasselbe bieten).
Manipulationssicherheit, Haltbarkeit, Schlüsselgeheimnis, Taktgenauigkeit usw. eines Hardware-Tokens).
Einmalpasswortgeräte haben die folgenden potenziellen Nachteile:
· Für einen Hardware-Token fällt ein einmaliger Aufwand an (abhängig vom Einkaufsvolumen,
Sie können damit rechnen, jeweils 10 bis 100 US-Dollar zu zahlen), und es besteht die Möglichkeit, dass Sie es auch müssen
Ersetzen Sie einen verlorenen oder defekten Token oder die Batterie eines Tokens (einige Geräte verfügen über eine).
nicht austauschbare Batterie, sodass sie nach einigen Jahren wegwerfbar sind);
· Die Erstkonfiguration ist etwas schwieriger als bei anderen Authentifizierungen
Methoden und Benutzer, die mit den Geräten nicht vertraut sind, müssen in die Funktionsweise eingewiesen werden
benutzen;
· Obwohl sie normalerweise recht klein sind (z. B. 5 cm x 2 cm x 1 cm) und an ihnen befestigt werden können
B. an einem Schlüsselbund, einem Schlüsselband oder in einer Brieftasche aufbewahrt, kann es sein, dass Benutzer zusammenzucken, wenn sie eine Wertmarke bei sich tragen müssen
mit ihnen herum;
· Benutzer können vergessen, ihren Token bei sich zu haben, oder den Token verlieren.
· Ein mobiles Gerät (mit einem Software-Client) ist wahrscheinlich ein wahrscheinliches Ziel für Diebstahl, mehr noch
also als ein Hardware-Token (daher ist eine PIN für dieses Gerät besonders wichtig);
· Im Gegensatz zu einem Hardware-Token, bei dem der Schlüssel unzugänglich und manipulationssicher eingebrannt ist
Im Speicher ist der in einem Software-Client konfigurierte Schlüssel wahrscheinlich von diesem lesbar
Eigentümer, der die gemeinsame Nutzung des Kontos ermöglicht;
· Die Eingabe eines Startwerts mit 40 oder mehr Zeichen in ein Mobilgerät kann frustrierend sein
und fehleranfällig;
· Sobald ein TOTP-Gerät ein Passwort generiert, kann erst dann ein neues Passwort generiert werden
Nächstes Zeitschrittfenster, in dem der Benutzer 30 (oder möglicherweise 60) Sekunden warten muss (z. B.
wenn ein Eingabefehler gemacht wird);
· Einige Geräte sind bei schlechten Lichtverhältnissen schwer zu lesen; Presbyope Benutzer und solche
Personen mit Sehbehinderung können Schwierigkeiten beim Ablesen der Anzeige haben.
Trading Konten
Die von verwalteten Konten dacstoken sind völlig getrennt von den Konten, die von verwendet werden
local_passwd_authenticate[21] oder irgendein anderes DACS Authentifizierungsmodul.
Konten für HOTP- und TOTP-Geräte können entweder kombiniert oder getrennt geführt werden. Wenn das Virtuelle
Wenn der Dateispeicherelementtyp auth_hotp_token definiert ist, wird er nur für verknüpfte Konten verwendet
mit HOTP-Tokens. Ebenso, wenn der virtuelle Dateispeicher-Elementtyp auth_totp_token ist
definiert, wird es nur für Konten verwendet, die mit TOTP-Tokens verknüpft sind. Wenn einer der Elementtypen vorhanden ist
nicht definiert, der Zugriff auf Konten erfolgt über DACs Virtueller Dateispeicher mithilfe des Elementtyps
auth_token. Es wird davon ausgegangen, dass die Dateiberechtigungen für die Kontodatenbanken so sind, dass alle
Der Zugriff ist auf den Administrator und beschränkt local_token_authenticate.
Wenn Konten für die beiden Gerätetypen gelten kombiniert, weil jeder Benutzername für einen
Die Authentifizierungsmethode muss eindeutig sein. Wenn eine Person über beide Arten von Token verfügt, muss sie dies tun
unterschiedliche Benutzernamen zugewiesen werden. Also zum Beispiel, wenn Auggie einen HOTP-Token und einen hat
TOTP-Token, ersteres könnte dem Benutzernamen auggie-hotp und letzteres entsprechen
auggie-totp; Das Anmeldeformular könnte eine Gerätemoduseingabe enthalten, die Auggie ermöglichen würde
Geben Sie einfach „auggie“ in das Feld „Benutzername“ ein und fügen Sie JavaScript automatisch hinzu
entsprechendes Suffix basierend auf dem ausgewählten Gerätemodus. Ein offensichtlicher Nachteil davon
Konfiguration ist, dass es zu zwei unterschiedlichen Ergebnissen kommt DACS Identitäten für dieselbe Person;
Dies müsste beachtet werden, wenn eine Zugangskontrollregel zur Identifizierung von Auggie erforderlich wäre
ausdrücklich. Wenn beide Token demselben zugeordnet werden sollen DACS Identität, die Auth-Klausel könnte
Entfernen Sie das Suffix nach erfolgreicher Authentifizierung, der Administrator würde dies jedoch tun
Vorsicht ist geboten, wenn es sich um zwei verschiedene Auggies handelt, die jeweils einen anderen Gerätetyp verwenden.
Konfigurieren der Elementtypen auth_hotp_token und auth_totp_token (oder nur eines davon).
und auth_token) hält die Konten getrennt und ermöglicht die Verwendung desselben Benutzernamens
beide Arten von Geräten. Auggie könnte daher einen Kontodatensatz bei demselben haben
Benutzername für beide Gerätetypen. Für diesen Ansatz muss der Gerätemodus angegeben werden
wenn eine Operation angefordert wird, damit der richtige Artikeltyp verwendet werden kann; Dies bedeutet, dass
Benutzer müssen wissen, welchen Gerätetyp sie verwenden (z. B. durch Anbringen eines Etiketts).
Beachten Sie wichtige Details bzgl DACS Identitäten[22].
Das -vfs wird verwendet, um den Elementtyp auth_token zu konfigurieren oder neu zu konfigurieren.
Nur Schlüssel, die die Mindestschlüssellängenanforderungen erfüllen (16 Bytes) können mit gespeichert werden
Kontoinformationen (z. B. mit -einstellen or -importieren). In anderen Kontexten ist die Anforderung
nicht durchgesetzt.
Der geheime Schlüssel wird von verschlüsselt dacstoken wenn es in die Kontodatei geschrieben wird. Der
Der virtuelle Dateispeicherelementtyp auth_token_keys identifiziert die Verschlüsselungsschlüssel für dacstoken
benutzen; Die -inkeys und -outkeys Flags geben Alternativen an (siehe dacskey(1)[23]). Wenn die
Verschlüsselungsschlüssel verloren gehen, sind die geheimen Schlüssel praktisch nicht wiederherstellbar.
Wichtig
Wenn ein Angreifer einen geheimen Schlüssel entdeckt, generiert er brauchbare Passwörter, ohne ihn zu besitzen
Der Token wird nicht schwierig sein. Zumindest bei einigen Hardware-Tokens wird der Schlüssel gebrannt
ist im Gerät verankert und kann nicht verändert werden; In diesem Fall ist der Schlüssel dem Gerät entgangen
sollte zerstört werden. Bei Verlust eines Tokens sollte das entsprechende Konto gesperrt werden.
Für den Fall, dass ein Angreifer einen verlorenen Token findet oder einen geheimen Schlüssel entdeckt, verfügt er über eine starke
Die mit dem Konto verknüpfte PIN erschwert dem Angreifer den Zugriff
zugreifen.
Wichtig
· Diese Authentifizierungsmethode wurde mit den folgenden OTP-Produkten getestet:
· Authenex Ein Schlüssel 3600[24] Einmalpasswort-Hardware-Token (HOTP);
· Feitian Technologies[25] Einmalpasswort-Hardware OTP C100 und OTP C200
Token, bereitgestellt von HyperSecu Informationen Systeme und Techniken[26]; und
· EID Token[27] Softwareanwendung von Archie Cobbs, die beides implementiert
HOTP und TOTP auf der iPod Berühren, iPhone, und iPad[28].
· Feitian Technologies iOATH Lite[29] HOTP-Softwareanwendung für den iPod
Touch, iPhone und iPad.
Andere Hersteller sind an der Unterstützung ihrer Produkte interessiert DACS sind
Gerne können Sie sich an Dss wenden.
· Foto[30]: Feitian OTP C200, iPod Touch mit der OATH Token-App, Authenex A-Key
3600 (im Uhrzeigersinn von oben links)
· Obwohl diese Implementierung nur mit ähnlichen, konformen Produkten funktionieren sollte
Diese Produkte werden offiziell unterstützt von DACS.
· Hardware-Tokens können direkt bei den Anbietern erworben werden.
· Probleme bei der Verwendung von Token zur Authentifizierung DACS sind nicht die
Die Verantwortung liegt beim Token-Anbieter.
Einfuhr und Exportieren OTP Trading Konten
Beschreibungen von Konten und ihren Token können geladen oder gelöscht werden (siehe -importieren
und -Export Flaggen). Dies vereinfacht die Massenbereitstellung, Sicherung und Portabilität. Der
Kontoinformationen werden in einem einfachen, anwendungsspezifischen (fast) XML-Format geschrieben.
Das Format, das von verstanden wird dacstoken besteht aus einem Wurzelelement („otp_tokens“), gefolgt von
Null oder mehr „otp_token“-Elemente, eines pro Zeile, jedes mit erforderlichem und optionalem Element
Attribute (unten beschrieben). Die XML-Deklaration muss weggelassen werden. Führendes Leerzeichen und
Leerzeilen werden ignoriert, ebenso wie einzeilige XML-Kommentare. Zusätzlich können Zeilen mit einem „#“
als erstes Nicht-Leerzeichen werden ignoriert. Optionale Attribute, die nicht vorhanden sind
Vorhandene Werte werden mit Standardwerten belegt. Der Standard-Digest-Algorithmus ist SHA1. Kurzes Attribut
Namen werden aus Platzgründen verwendet. Nicht erkannte Attribute und Attribute, die für die nicht relevant sind
Gerätemodus, werden ignoriert. Einfache oder doppelte Anführungszeichen (oder beides) innerhalb des XML-Attributs
Werte müssen durch die entsprechende Entitätsreferenz („'“ und „““ ersetzt werden).
bzw.), ebenso wie die Zeichen „<“ (Kleiner als) und „&“ (kaufmännisches Und). Ein „>“ (größer
als) Zeichen kann optional durch eine „>“-Sequenz ersetzt werden, aber keine andere Entität
Referenzen werden anerkannt.
Anerkannte Attribute sind:
· B:
Base
– Basis für den OTP-Wert
[Optional:
10 (Standard),
16, oder 32]
· C:
Zähler
– aktueller Zählerwert für HOTP, in Hex, falls vorangestellt
durch „0x“ (oder „0X“), andernfalls dezimal
[Optional:
Standard ist 0]
· D:
OTP Gerät Modus
-- „c“ (für HOTP)
oder „t“ (für TOTP)
[Erforderlich]
· dn:
Digest-Name
– einer der sicheren Hash-Algorithmen
[Optional:
SHA1 (Standard),
SHA224, SHA256,
SHA384, SHA512]
· DR:
Uhrabweichung
-- Uhranpassung in Sekunden für TOTP
[Optional]
· ek:
verschlüsselter Schlüssel
– verschlüsselter geheimer Schlüssel, Base-64-kodiert
[Erforderlich:
Nur OTP-Kontodatensätze]
· de:
Aktiviert-Status
-- 1 für aktiviert,
0 für Behinderte
[Erforderlich]
· k:
Klartext-Schlüssel
– unverschlüsselter geheimer Schlüssel
[Erforderlich]
· lu:
letztes Update
– Unix-Zeit der letzten Datensatzaktualisierung
[Optional: Standard ist die aktuelle Zeit]
· nd:
nStellen
– Anzahl der Stellen für den OTP-Wert
[Optional:
Standard ist 6 für HOTP,
8 für TOTP]
· P:
Klartext-PIN
– Klartext-PIN-Wert für das Konto
[Erforderlich:
es sei denn, pH ist vorhanden,
Nur für den Import]
· ph:
Hash-PIN
– gehashter PIN-Wert für das Konto
[Optional:
Erzeugt durch dacstoken
Nur für Export- und OTP-Kontodateien]
· S:
Seriennummer
– eindeutige Kennungszeichenfolge für das Gerät
[Erforderlich]
· ts:
Zeitschritt
– Zeitschrittwert in Sekunden für TOTP
[Optional:
Standard ist 30]
· du:
Benutzername
-- ein gültiger DACS Benutzername, der diesem Konto zugeordnet ist
[Erforderlich]
Das folgende Beispiel beschreibt zwei Konten, die mit erstellt werden könnten -importieren Flagge:
Sicherheit
Da importierte Datensätze die unverschlüsselten geheimen Schlüssel für die OTP-Geräte enthalten, ist die
Die exportierte Datei sollte verschlüsselt bleiben (z. B. mit openssl) oder zumindest haben
entsprechende Dateiberechtigungen.
Note
Ein Standardformat für die Bereitstellung von OTP-Geräten wird entwickelt. Dieses Format kann sein
verstanden von einer zukünftigen Version von dacstoken, oder es kann ein Konvertierungsdienstprogramm geschrieben werden.
Das Standardformat dürfte deutlich komplexer sein als das DACS Format.
OPTIONAL
Zusätzlich zum Standard dacsoptionen[1] ist eine lange Liste von Befehlszeilen-Flags
anerkannt. Wenn ein Benutzername angegeben ist, sind die mit diesem Konto verknüpften Standardwerte
verwendet, andernfalls werden empfohlene oder umsetzungsspezifische Standardwerte verwendet. Diese Standardeinstellungen
Werte können normalerweise in der Befehlszeile überschrieben werden. Einige Flaggen sind nur mit einem erlaubt
bestimmter Token-Modus (z. B. -Zähler, -totp-show) und ihr Aussehen impliziert diesen Modus,
das machen -Modus Flagge unnötig; Andere Flags sind modusunabhängig (z. B. -löschen,
-aktivieren). Es ist ein Fehler, eine untereinander inkompatible Flag-Kombination zu verwenden. Flaggen, die es gibt
Mit der ausgewählten Operation bedeutungslose Befehle werden ignoriert, obwohl sie immer noch einen Modus implizieren.
Bei hexadezimalen Werten wird die Groß-/Kleinschreibung nicht beachtet. Wenn ein Zählerwert erforderlich, aber nicht angegeben ist
(z. B. beim Erstellen eines Kontos) wird ein anfänglicher Zählerwert von Null verwendet.
Das Betriebsspezifikation Gibt die auszuführende Operation zusammen mit null oder mehr an Modifikator
Flaggen. Wenn Betriebsspezifikation fehlt, die -Liste Operation durchgeführt wird. Ein Betriebsspezifikation ist eine der
wie folgt vor:
-auth otp-Wert
Diese Flagge ist wie -bestätigen[31], außer:
· ein Benutzername erforderlich ist, aus dem alle Parameter gewonnen werden (z. B. der Schlüssel);
· Wenn das Konto über eine PIN verfügt, muss diese angegeben werden.
· Wenn es sich bei dem Konto um ein HOTP-Token handelt, wird der Zähler bei der Authentifizierung aktualisiert
ist erfolgreich.
Ein Exit-Status von Null zeigt eine erfolgreiche Authentifizierung an, während jeder andere Wert eine erfolgreiche Authentifizierung anzeigt
bedeutet, dass die Authentifizierung fehlgeschlagen ist.
-Konvertieren Dateinamen
Laden Sie eine Token-Kontodatei im älteren Format (vor Version 1.4.25) von Dateinamen ("-"
bedeutet, von stdin zu lesen, es in das neuere Format zu konvertieren und es in stdout zu schreiben (as
by -Export). Dieses Flag ist veraltet und diese Funktion wird in Zukunft entfernt
Veröffentlichung von DACS.
-schaffen
Erstellen Sie ein Konto für Benutzername, die noch nicht vorhanden sein darf. Im Übrigen ist es
funktioniert wie -einstellen[32]. Wenn Sie ein neues Konto erstellen, -Serie ist erforderlich und -Schlüssel is
impliziert. Wenn nein -aktivieren Flag wird beim Erstellen eines Kontos bereitgestellt, -deaktivieren ist impliziert.
Wenn nein -Zähler Wenn das Flag bereitgestellt wird, wird der Standardwert Null verwendet. Wenn eines der PIN-Flags ist
Ist die PIN vorhanden, wird die angegebene PIN dem Konto zugeordnet, andernfalls nicht
eine PIN haben (oder die bestehende PIN wird nicht geändert).
-Strom
Zeigt den aktuellen Bewegungsfaktor an (d. h. den Zählerwert für HOTP oder das Intervall).
Wert für TOTP) und erwartetes OTP für Benutzername. Bei HOTP ist der Zähler vorgerückt. Alle
Parameter werden vom Konto übernommen.
-löschen
Löschen Sie das Konto für Benutzername. Der geheime Schlüssel des Geräts und andere Betriebsdaten
Parameter gehen verloren.
-delpin
Löschen Sie die PIN, falls vorhanden, auf dem Konto für Benutzername, so dass das Konto ohne a bleibt
STIFT.
-Export
Schreiben Sie Informationen zu allen Konten oder nur zu einem Konto, wenn Benutzername gegeben ist, zu
stdout. Wenn jedoch ein Modus ausgewählt ist, sind nur Konten verfügbar, die über diesen Modus verfügen
geschrieben. Diese Informationen können über erneut geladen werden -importieren or -importieren-ersetzen. Die Ausgabe
sollte in verschlüsselter Form gespeichert werden oder zumindest über Dateiberechtigungen verfügen
passend einstellen. Zum Beispiel:
% dacstoken -uj BEISPIEL -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
Später könnten Sie so etwas tun:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj BEISPIEL -import -
-h
-Hilfe
Eine Hilfemeldung anzeigen und beenden.
-hotp-show num
Display num aufeinanderfolgende HOTP-Passwörter ab einem bestimmten Zählerwert und Schlüssel. Der
-Zähler Flag kann verwendet werden, um einen anfänglichen Zählerwert anzugeben. Der Schlüssel kann sein
angegeben mit -Schlüssel, -Schlüsseldatei, oder -key-prompt. Wenn eine Benutzername vorgesehen ist, die
Der anfängliche Zählerwert und der Schlüssel werden vom HOTP-Konto des Benutzers abgerufen, es sei denn, dies ist der Fall
Wert wird in der Befehlszeile überschrieben; Der gespeicherte Zählerwert des Kontos ist nicht der Fall
geändert. Dies ist hauptsächlich für Debugging-Zwecke gedacht.
-importieren Dateinamen
-importieren-ersetzen Dateinamen
Laden Sie Konto- und Token-Informationen von Dateinamen; ob Dateinamen ist „-“, stdin wird gelesen.
Wenn ein Modus ausgewählt ist, werden nur Konten gelesen, die diesen Modus haben. Mit -importieren es ist
ein Fehler, wenn bereits ein importiertes Konto vorhanden ist und die Verarbeitung angehalten wird; -importieren-ersetzen
ersetzt ein bestehendes Konto durch importierte Daten.
-l
-Liste
-langes
If Benutzername bereitgestellt wird, Informationen zum entsprechenden Konto anzeigen; wenn die
-Serie Wenn das Flag angegeben ist, werden Informationen zum Konto mit der angegebenen Seriennummer angezeigt
Nummer; andernfalls alle Konten auflisten. Wenn die -Modus In jedem dieser Fälle wird die Flagge angegeben.
Listen Sie jedoch nur die Konten auf, für die der Betriebsmodus angegeben ist. Wenn dies
Flagge wird wiederholt, oder mit dem -langes Flagge, weitere Details werden angezeigt: Gerätetyp,
Kontostatus, Geräteseriennummer, Zählerwert (für HOTP), Taktdriftwert (für
TOTP), ob das Konto über eine PIN verfügt (gekennzeichnet durch ein „+“- oder „-“-Symbol) und
Uhrzeit und Datum der letzten Kontoänderung.
-umbenennen neuen Benutzernamen
Benennen Sie das vorhandene Konto um Benutzername sein neuen Benutzernamen, und ändern Sie das neue
Konto mithilfe von Befehlszeilenargumenten (wie bei -einstellen[32]). Da dies zwei Schritte erfordert
Dies erfolgt nicht atomar. Wenn ein Fehler auftritt, ist dies für das neue Konto möglich
erstellt werden und das alte Konto weiterhin bestehen bleiben.
-einstellen
Das -einstellen Flag wird verwendet, um das vorhandene Konto für zu ändern Benutzername basierend auf einem oder mehreren
Modifikatorargumente (-Base, -Zähler, -Ziffern, -deaktivieren or -aktivieren, -Schlüssel (oder -Schlüsseldatei
or -key-prompt), -Pin (oder -pin-Datei or -pin-prompt), oder -Serie). Der Modus kann auch sein
durch Angabe geändert werden -Modus, sondern modusspezifische Parameter, die dem Konto zugeordnet sind
gehen verloren (z. B. wird der aktuelle Zählerwert gelöscht, wenn ein HOTP-Konto vorhanden ist).
in ein TOTP-Konto geändert) und allgemeine Parameter (z. B. die Seriennummer) werden geändert
Wird beibehalten, sofern es nicht in der Befehlszeile überschrieben wird.
-sync Passwortliste
Im HOTP-Modus wird versucht, den Server mit dem Token zu synchronisieren Benutzernamedem „Vermischten Geschmack“. Seine
Passwortliste ist eine durch Kommas getrennte Liste von drei aufeinanderfolgenden Passwörtern, die von erstellt wurden
Benutzer-Token (diese „Auto-Synchronisierungs“-Funktion ist auch verfügbar über
local_token_authenticate[3]). Die angegebene Sequenz muss mit der berechneten Sequenz übereinstimmen
genau, angesichts der geltenden Betriebsparameter; Beispielsweise sind führende Nullen
von Bedeutung, ebenso wie die Anzeigebasis und die Anzahl der gültigen OTP-Ziffern. Wenn
Nachdem die Synchronisierung erfolgreich war, sollte sich der Benutzer mit der nächsten authentifizieren können
vom Gerät erzeugtes Passwort. Ein umfassender Suchalgorithmus mit zunehmender Suchfunktion
Es wird ein Zählerwert verwendet, wobei die maximale Anzahl zur Kompilierungszeit begrenzt ist
Berechnungen. Die Suche beginnt beim aktuell auf dem Server gespeicherten Zählerwert, sofern nicht
man wird mit bereitgestellt -Zähler. Wenn dieser Vorgang nicht erfolgreich ist, kann er lange dauern
bevor es endet; Der Benutzer muss sich für Unterstützung an einen Administrator wenden.
Versuchen Sie im TOTP-Modus festzustellen, wie genau die Systemuhr synchronisiert ist
die Uhr des Tokens und zeigt das Ergebnis an. Diese Informationen können zur Aktualisierung des verwendet werden
Token-Datensatz des Benutzers, um schlecht synchronisierte Uhren zu kompensieren oder anzupassen
Validierungsparameter. Der Schlüssel des Tokens und der Name des Digest-Algorithmus sind
für den zugehörigen Token-Datensatz erhalten Benutzername, wenn es gegeben ist; ansonsten der Schlüssel
wird zur Eingabe aufgefordert und der zu verwendende Digest-Algorithmus wird entweder aus dem Befehl abgerufen
Zeile oder die Standardeinstellung. Nur das erste Passwort in Passwortliste wird eingesetzt. Das
-totp-Zeitschritt, -Ziffern und -totp-base Optionen sind während dieses Vorgangs wirksam.
-Test
Führen Sie einige Selbsttests durch und beenden Sie den Vorgang. Ein Exit-Status ungleich Null bedeutet, dass ein Fehler aufgetreten ist.
-totp-show num
Zeigen Sie eine Folge von TOTP-Passwörtern mit den aktuell gültigen Parametern an:
Intervallgröße (-totp-Zeitschritt), Anzahl an Ziffern (-Ziffern) und Basis (-Base). Die
Die gespeicherten Parameter des Kontos werden nicht geändert. Dies ist hauptsächlich zum Debuggen gedacht
Zwecke.
Sollten Sie jetzt aufgefordert werden, ein Benutzername bereitgestellt wird (es muss einem TOTP-Gerät zugeordnet sein), der Schlüssel und
Andere gespeicherte Parameter des Kontos werden verwendet, sofern sie nicht über die Befehlszeile überschrieben werden
Flaggen. Die Reihenfolge der Passwörter für num Intervalle vor und nach der aktuellen Zeit,
zusammen mit dem Passwort für die aktuelle Uhrzeit werden ausgedruckt.
Wenn nein Benutzername angegeben wird, fragt das Programm nach dem Schlüssel (der wiederholt wird) und verwendet ihn
Befehlszeilenflags oder Standardwerte für Parameter. Anschließend wird das TOTP-Passwort ausgegeben
Bei jedem Drücken von Return/Enter wird die aktuelle Uhrzeit angezeigt. Die Eingabe von EOF löst sofort aus
Beendigung.
-bestätigen otp-Wert
If otp-Wert Ist das nächste erwartete Einmalpasswort, wird ein Exit-Status von Null zurückgegeben
Erfolg anzeigen; Jeder andere Wert weist auf einen Fehler hin. Wenn Benutzername gegeben ist, Parameter
zur Validierung, einschließlich des Schlüssels, werden von diesem Konto abgerufen, sofern sie nicht überschrieben werden
die Befehlszeile. Der Status des Servers wird nicht geändert; Beispielsweise ist ein HOTP-Zähler nicht vorhanden
fortschrittlich. Wenn nein Benutzername gegeben ist, die -Modus Flag muss verwendet werden und die Parameter
Für diesen Modus erforderliche Informationen müssen einschließlich eines Schlüssels angegeben werden. Für den HOTP-Modus ein Zählerwert
muss zur Verfügung gestellt werden. Im TOTP-Modus sind dabei Kommandozeilenparameter wirksam
Validierung. dacstoken Werde mal testen ob otp-Wert validiert anhand der Parameter in
Wirkung.
Folgende Modifikator Flags werden verstanden:
-alles
Mit der -einstellen und nein Benutzername, wenden Sie die Änderungen an alle Konten. Dies kann dazu genutzt werden
Aktivieren oder deaktivieren Sie beispielsweise alle Konten. Der -inkeys und -outkeys Flaggen sind
geehrt. Wenn ein Fehler auftritt, stoppt die Verarbeitung sofort, in diesem Fall nur einige
Konten wurden möglicherweise geändert.
-Base num
Verwenden Sie die num als Basis (Radix) bei der Anzeige eines OTP. Der Wert von num ist beschränkt auf
10 (der Standard), 16, oder 32.
-Zähler num
Dies ist der einzustellende 8-Byte-HOTP-Zählerwert, ausgedrückt als Hexadezimalwert, wenn ihm vorangestellt wird
durch „0x“ (oder „0X“), andernfalls dezimal. Führende Nullen können weggelassen werden. Dies impliziert HOTP
Modus. Bei Token-Geräten sollte es nicht möglich sein, einen Zähler (Modulo-Zähler) zurückzusetzen
Überlauf), da dies vermutlich dazu führt, dass die Passwortsequenz wiederholt wird
dass der Schlüssel nicht geändert wird; Softwareimplementierungen unterliegen dieser Einschränkung möglicherweise nicht.
Beachten Sie jedoch die Auswirkungen auf die Sicherheit.
-Ziffern num
Verwenden Sie die num Ziffern bei der Anzeige eines OTP. Der Wert von num ist beschränkt auf 6, 7, 8 (Das
Standard), oder 9 mit Sockel 10. Es ist beschränkt auf 6 mit Sockel 32 und wird mit ignoriert
Base 16 (Hex-Ausgabe).
-deaktivieren
Deaktivieren Sie das Konto für Benutzernamedem „Vermischten Geschmack“. Seine local_token_authenticate Modul und -auth und
-bestätigen Flags erlauben dem Benutzer keine Authentifizierung, bis das Konto freigegeben wurde
aktiviert, obwohl möglicherweise noch andere Vorgänge für das Konto ausgeführt werden. Wenn -aktivieren
Wird anschließend verwendet, wird das Konto für die Authentifizierung nutzbar und ist
Der Zustand zum Zeitpunkt der Deaktivierung wurde wiederhergestellt. Es ist kein Fehler, ein zu deaktivieren
bereits deaktiviertes Konto.
-aktivieren
Aktivieren Sie das Konto für Benutzernamedem „Vermischten Geschmack“. Seine local_token_authenticate Modul ermöglicht die
Benutzer zur Authentifizierung. Es ist kein Fehler, ein bereits aktiviertes Konto zu aktivieren.
-Hotp-Fenster num
Wenn das erwartete HOTP-Passwort nicht mit dem angegebenen Passwort übereinstimmt, versuchen Sie, es zu finden
num Passwörter nach dem erwarteten Passwort in der Reihenfolge ein. Ein Wert von Null für num
deaktiviert diese Suche.
-inkeys Gegenstandsart
Verwenden Sie zum Entschlüsseln geheimer Schlüssel den durch identifizierten Speicher Gegenstandsart, vermutlich
in dacs.conf konfiguriert.
-Schlüssel Schlüsselwort
Verwenden Sie die Schlüsselwort als geheimer Schlüssel, ausgedrückt als hexadezimale Zeichenfolge.
Sicherheit
Die Angabe eines Schlüssels in der Befehlszeile ist nicht sicher, da er möglicherweise für andere sichtbar ist
andere Prozesse.
-Schlüsseldatei Dateinamen
Lesen Sie den geheimen Schlüssel, ausgedrückt als hexadezimale Zeichenfolge, aus Dateinamen. Wenn Dateinamen is
„-“, der Schlüssel wird von stdin gelesen.
-key-prompt
Aufforderung zur Eingabe des geheimen Schlüssels, ausgedrückt als hexadezimale Zeichenfolge. Die Eingabe wird nicht wiedergegeben.
-Modus OTP-Modus
Dies gibt (ohne Berücksichtigung der Groß- und Kleinschreibung) den Typ des zu verwendenden Tokens (den OTP-Gerätemodus) an
mit -einstellen, -schaffensowie Validierungs- und Synchronisierungsvorgänge. Der OTP-Modus könnte sein
entweder counter oder hotp für den Zählermodus oder time oder totp für den zeitbasierten Modus. Das
Flag ist beim Erstellen eines neuen Kontos erforderlich.
-outkeys Gegenstandsart
Verwenden Sie zum Verschlüsseln geheimer Schlüssel den durch identifizierten Speicher Gegenstandsart, vermutlich definiert
in dacs.conf.
-Pin pinval
Verwenden Sie die pinval als geheime PIN für das Konto.
Sicherheit
Die Angabe einer PIN in der Befehlszeile ist nicht sicher, da sie möglicherweise für andere sichtbar ist
andere Prozesse.
-Pin-Einschränkungen str
Anstatt zu verwenden PASSWORD_CONSTRAINTS[14], verwenden str (mit der gleichen Syntax und
Semantik), um die Anforderungen an eine PIN zu beschreiben.
Note
Anforderungen an eine PIN gelten für PINs, die über ein Befehlszeilenflag erhalten wurden, und für diese
durch Importieren erhalten (mithilfe des Attributs „p“). Anforderungen gibt es nicht
Allerdings „rückwirkend“, sodass eine Änderung der Anforderungen keine Auswirkungen auf die PINs von hat
vorhandene Konten oder das Importieren von Konten, die zuvor exportiert wurden (mit einem
Attribut „ph“.
-pin-Datei Dateinamen
Lesen Sie die geheime PIN aus Dateinamen. Wenn Dateinamen „-“ ist, wird die PIN aus stdin gelesen.
-pin-prompt
Nach der Geheim-PIN fragen. Die Eingabe wird nicht wiedergegeben.
-rnd
Reserviert für zukünftige Verwendung.
-Samen str
Reserviert für zukünftige Verwendung.
-Serie str
Die Seriennummer, strist eine (angeblich) eindeutige Kennung, die dem Token zugewiesen wird.
Diese Option wird mit dem . verwendet -einstellen, -schaffen und -Liste Flaggen. Eine Seriennummer
identifiziert ein bestimmtes OTP-Gerät und muss nicht geheim gehalten werden. Die Einzigartigkeitseigenschaft
wird innerhalb einer Artikeltyp-Lagereinheit erzwungen; das heißt, Seriennummern aller HOTP
Geräte müssen eindeutig sein, Seriennummern aller TOTP-Geräte müssen eindeutig sein und wenn
Damit Konten für die beiden Gerätetypen kombiniert werden, müssen alle Geräteseriennummern vorhanden sein
einzigartig. Es wird jede druckbare Zeichenfolge akzeptiert. Wenn ein Software-Client generiert
Für Passwörter können Sie die Seriennummer des Geräts verwenden oder eine andere geeignete Beschreibung wählen
Zeichenfolge, die noch keinem Gerät zugewiesen ist.
Note
Eine Gerichtsbarkeit, die sowohl Hardware-Token als auch erlaubt (oder irgendwann zulassen könnte).
Software-generierende Clientanwendungen sollten die Einführung einer formalisierten Lösung in Betracht ziehen
Benennungsschema für seine Token. Beispielsweise könnte der Administrator „-hw“ anhängen
die Seriennummer des Anbieters, um die zu bilden dacstoken Seriennummer. Für Software
Tokens kann der Administrator erstellen dacstoken Seriennummer durch Anhängen
„-sw“ für die Seriennummer des Herstellers für das Gerät.
-totp-delta num
Passen Sie die Basiszeit an num Intervalle (jeweils die Schrittgröße in Sekunden), wenn
Berechnen eines TOTP. Der num kann negativ, null oder positiv sein. Dies dient der Korrektur
für unzureichend synchronisierte Uhren.
-totp-drift Windows
Verwenden Sie für TOTP eine Fenstergröße von Windows (in Bezug auf die Intervallgröße) für
Validierung. Wenn Windows is 0, der berechnete TOTP-Wert muss mit dem angegebenen übereinstimmen
genau. Wenn Windows is 1, beispielsweise, dacstoken wird versuchen, dem angegebenen TOTP zu entsprechen
Wert im vorherigen, aktuellen und nächsten Intervall. Dadurch können die Uhren im
System läuft dacstoken (oder local_token_authenticate) und Token-produzierendes Gerät zu
weniger gut synchronisiert sein.
Sicherheit
Obwohl es schlecht synchronisierte Uhren kompensiert, erhöht es den Wert von
Windows schwächt das System, indem es die Lebensdauer eines Einmalpassworts verlängert.
-totp-hash alg
Verwenden Sie die alg als Digest-Algorithmus mit TOTP. Der Wert von alg ist beschränkt auf (Fall
unempfindlich) SHA1 (Standard), SHA256 oder SHA512.
-totp-Zeitschritt Sekunden
Verwenden Sie die Sekunden als Intervallgröße bei der Berechnung eines TOTP. Er muss größer als Null sein. Der
Standard ist 30 Sekunden.
Sicherheit
Obwohl es schlecht synchronisierte Uhren kompensiert, erhöht es den Wert von
Sekunden schwächt das System, indem es die Lebensdauer eines Einmalpassworts verlängert.
-vfs vfs_uri
Verwenden Sie die vfs_uri die überschreiben VFS[33] Konfigurationsanweisung in Kraft. Das kann sein
Wird zum Konfigurieren oder Neukonfigurieren von auth_token, auth_hotp_token oder auth_totp_token verwendet
Geben Sie die Speichermethode für die Konten an, auf die reagiert wird.
Abgesehen von Fehlermeldungen, die im Standardfehler ausgegeben werden, gehen alle Ausgaben an den
Standardausgabe.
Normalerweise, a dacsoption wird angegeben, um die Gerichtsbarkeit auszuwählen, in deren Namen
Konten werden verwaltet.
Beispiele:
In diesen Beispielen wird davon ausgegangen, dass der zu verwendende Jurisdiktionsname EXAMPLE und sein Verbund lautet
Die Domain ist example.com.
Um diese Authentifizierungsmethode zu verwenden, a DACS Der Administrator führt möglicherweise die folgenden Schritte aus
für jedes einem Benutzer zugewiesene OTP-Gerät:
1. Besorgen Sie sich ein unterstütztes Token, prüfen Sie, wie es zur Authentifizierung verwendet wird, und wählen Sie Werte aus
für die verschiedenen Parameter. Besorgen Sie sich den geheimen Schlüssel für das Gerät vom Anbieter; für
B. ein programmierbares Gerät, wählen Sie einen geeigneten Zufallsschlüssel aus und programmieren Sie ihn in das Gerät.
Die aktuellen Zählerwerte können jedoch auch vom Anbieter bezogen werden
wahrscheinlich auf Null initialisiert; Stellen Sie bei einem programmierbaren Gerät den Zählerwert auf ein
null. Entscheiden Sie, ob eine PIN erforderlich ist (siehe TOKEN_REQUIRES_PIN[9]). Wenn eine Software
Wenn der Client verwendet wird, installieren Sie die Software auf dem Gerät des Benutzers (oder lassen Sie den Benutzer dies tun).
so) und konfigurieren Sie die Software.
2. Entscheiden Sie, wo die Kontoinformationen gespeichert werden sollen und fügen Sie ggf. ein passendes hinzu
VFS[33] Direktive zu dacs.conf. Die Standardeinstellung (in site.conf zu finden) verwaltet das Konto
Informationen in einer Datei mit dem Namen auth_tokens innerhalb der standardmäßigen privaten Daten jeder Gerichtsbarkeit
Bereich:
VFS „[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. Generieren Sie Schlüssel zum Verschlüsseln der Kontoinformationen (siehe Tokens und secret Tasten[34]) und
entscheiden Sie, wo sie gespeichert werden; zum Beispiel (Ihre Benutzer-ID, Gruppen-ID, Pfad,
Der Name der Gerichtsbarkeit und die Föderationsdomäne können variieren):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj BEISPIEL -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
Fügen Sie bei Bedarf ein geeignetes hinzu VFS[33] Direktive zu dacs.conf; die Standardeinstellung ist
Wie oben verwendet, werden die Kontoinformationen in einer Datei mit dem Namen auth_token_keys verwaltet
Der standardmäßige private Bereich jeder Gerichtsbarkeit:
VFS „[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. Wenn Benutzer sich über anmelden müssen dacs_authenticate(8)[2] müssen Sie a konfigurieren
geeignete Auth-Klausel in dacs.conf, zum Beispiel:
URL „Token“
STIL „pass“
STEUERUNG „ausreichend“
5. Es gibt mehrere Möglichkeiten, wie ein Administrator vorgehen kann, je nachdem, wie viel davon
Der Aufwand kann von den Benutzern getragen werden (z. B. ob sie vertrauenswürdig sind, ihre technische
Fähigkeit), wie viele Benutzer es gibt (einige oder Tausende) und die Sicherheitsstufe
erforderlich.
1. Bereiten Sie eine Datei vor, die eine enthält XML Rekord[35] für jedes zu erstellende Konto; Wenn
Sollen PINs verwendet werden, weisen Sie jedem Konto eine zufällige PIN zu;
2. Verwenden Sie die -importieren[36] Flag zum Erstellen der Konten;
3. Geben Sie dem Benutzer das Token-Gerät, den Benutzernamen und (falls erforderlich) die anfängliche PIN
(vielleicht Überprüfung der Identität), Bereitstellung aller erforderlichen Nachweise und
Anleitung;
4. Lassen Sie den Benutzer die PIN für das Konto festlegen oder zurücksetzen und bitten Sie den Benutzer, sich anzumelden
Verwendung des Tokens zur Bestätigung des korrekten Betriebs.
So erstellen Sie ein deaktiviertes Konto für den Benutzer bobo für ein HOTP-Gerät:
% dacstoken -uj EXAMPLE -mode hotp -serial 37000752 -key-file bobo.key -create bobo
Der geheime Schlüssel für das Konto (der nicht bereits vorhanden sein darf) wird aus der Datei gelesen
bobo.key. Neue Konten sind standardmäßig deaktiviert; verwenden -aktivieren um ein aktiviertes Konto zu erstellen.
Sobald ein Konto erstellt wurde, kann es mit dem Token synchronisiert werden. Zum Synchronisieren
das HOTP-Token für Benutzer bobo:
% dacstoken -uj BEISPIEL -sync 433268,894121,615120 bobo
In diesem Beispiel erzeugte der bestimmte Token die drei aufeinanderfolgenden Passwörter 433268,
894121 und 615120. Beachten Sie, dass die Kennwortsequenzzeichenfolge, die auf folgt -sync Flagge ist
ein einzelnes Argument, das keine eingebetteten Leerzeichen enthalten darf. Wenn der Schlüssel für dieses Token lautet
19c0a3519a89b4a8034c5b9306db, das nächste von diesem Token generierte Passwort sollte 544323 sein
(mit Zählerwert 13). Dies kann mit überprüft werden -hotp-show:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
So aktivieren Sie das Konto für den Benutzer bobo:
% dacstoken -uj BEISPIEL -enable -set bobo
So legen Sie sowohl die PIN fest als auch aktivieren das Konto für den Benutzer bobo:
% dacstoken -uj BEISPIEL -enable -pin "CzAy" -set bobo
Um alle Konten im Detail aufzulisten:
% dacstoken -uj BEISPIEL -long
Das -Liste Flag ist überflüssig, da es sich um die Standardoperation handelt. Der -Modus, -Zähler, usw.
Modifikatoren haben beim Auflisten keine Auswirkung.
Um nur das Konto für bobo aufzulisten:
% dacstoken -uj BEISPIEL -list bobo
Der Exit-Status ist ungleich Null, wenn dieser Benutzer kein Konto hat.
So zeigen Sie das Konto für das Gerät mit der Seriennummer 37000752 an:
% dacstoken -uj EXAMPLE -serial 37000752
Auf dem Token ist häufig die Seriennummer aufgedruckt, die einen Token eindeutig identifizieren soll
oder kann durch den Token angezeigt werden.
So legen Sie den Zählerwert für das bestehende Konto von Bobo fest:
% dacstoken -uj BEISPIEL -counter 9 -set bobo
Dieser Vorgang kann zum Testen oder mit einem Software-Token verwendet werden. Der -sync Betrieb ist
eher für einen Hardware-Token geeignet.
So ändern Sie die PIN für den Benutzernamen bobo:
% dacstoken -uj BEISPIEL -pin-prompt -set bobo
Das Programm fordert Sie zur Eingabe der neuen PIN auf.
So verwenden Sie eine alternative Kontodatei, /secure/auth_tokens:
% dacstoken -uj BEISPIEL -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
Um neue Schlüssel zu verwenden (unter denselben Annahmen wie zuvor), fügen Sie eine geeignete VFS-Anweisung hinzu
dacs.conf; Der Standardwert definiert den Elementtyp auth_token_keys_prev wie folgt:
VFS „[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj BEISPIEL -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXAMPLE -inkeys auth_token_keys.prev -set
DIAGNOSE
Das Programm beendet 0 oder 1, wenn ein Fehler aufgetreten ist.
Nutzen Sie dacstoken online über die Dienste von onworks.net
