این دستور dacstoken است که می تواند در ارائه دهنده هاست رایگان OnWorks با استفاده از یکی از چندین ایستگاه کاری آنلاین رایگان ما مانند Ubuntu Online، Fedora Online، شبیه ساز آنلاین ویندوز یا شبیه ساز آنلاین MAC OS اجرا شود.
برنامه:
نام
dacstoken - رمزهای عبور یکبار مصرف مبتنی بر هش را مدیریت کنید
خلاصه
dacstoken [داکسوپشن ها[1]] [-همه] [-پایه تعداد] [-پیشخوان تعداد] [-اعداد تعداد]
[غیرقابل قبول | -قابل امکان] [-پنجره hotp تعداد] [- جوهرها نوع آیتم]
[[-کی کلید] | [کلید-فایل نام فایل] | [-کلید اعلان]] [حالت حالت otp]
[کلیدهای خروجی نوع آیتم]
[[پین پینوال] | [پین-فایل نام فایل] | [پین-اعلان]] [محدودیت های پین خ]
[-rnd] [-بذر خ] [-سریالی خ] [-totp-delta تعداد] [-دریفت بالا nwindows]
[-totp-hash جلبک]
[-Totp-Timestep ثانیه] [-vfs vfs_uri] [op-spec] [نام کاربری]
شرح
این برنامه بخشی از DACS در.
La dacstoken آب و برق را اداره می کند DACS حساب های مرتبط با رمز عبور یکبار مصرف (OTP)
دستگاه های تولید کننده (نشانه) یا کلاینت های مبتنی بر نرم افزار. با استفاده از گزینه های خط فرمان، آن را نیز
مقادیر OTP را محاسبه می کند. پارامترهای حساب رمزی را می توان نادیده گرفت، اما حساب ها یکنواخت نیستند
مورد نیاز است.
احراز هویت قوی و دو عاملی می تواند زمانی ارائه شود dacs_authenticate[2] پیکربندی شده است
برای استفاده از local_token_authenticate[3] ماژول احراز هویت یا زمانی که dacstoken به عنوان استفاده می شود
یک برنامه مستقل برای اعتبارسنجی رمزهای عبور. هر دو حالت رمز عبور یکبار مصرف مبتنی بر HMAC
(HOTP)، بر اساس یک شمارنده رویداد و مشخص شده توسط RFC 4226[4]، و بر اساس زمان
حالت رمز یکبار مصرف (TOTP)، همانطور که توسط آخرین IETF پیش نویس اینترنت[5] پیشنهاد،
پشتیبانی می شوند اضافی قابل استفاده حالت های[6] به نام OCRA (سوگند - دشنام چالش-پاسخ
الگوریتم) که در پیش نویس اینترنت IETF توضیح داده شده است، هنوز به طور کامل پشتیبانی نمی شوند.
توجه داشته باشید
این نسخه از dacstoken تغییرات زیادی را در خود جای داده است که با گذشته سازگار نیستند
با نسخه 1.4.24a و قبل از آن. برخی از پرچم های خط فرمان عملکرد متفاوتی دارند و
فرمت فایل حساب کاربری تغییر کرده است. اگر قبلا از این دستور استفاده کرده اید
نسخه های منتشر شده، لطفاً یک نسخه پشتیبان از فایل حساب رمزی خود تهیه کنید و این راهنما را مرور کنید
قبل از ادامه به دقت صفحه را بزنید (به -تبدیل پرچم[7] به ویژه).
مهم
هیچ نرم افزار ارائه شده توسط فروشنده مورد نیاز نیست dacstoken برای تامین عملکرد آن در
دستگاههایی که در حال حاضر پشتیبانی میشوند نیازی به ثبتنام یا تعامل پیکربندی ندارند
با فروشندگان و dacstoken میکند نه تعامل با فروشندگان سرورها or استفاده کنید هر
اختصاصی نرمافزار. ممکن است برای اجرا به نرم افزار ارائه شده توسط فروشنده نیاز باشد
با این حال، مقداردهی اولیه یا پیکربندی برای سایر دستگاههای نشانه، و dacstoken میکند
چنین حمایتی از آنها ارائه نمی شود.
هر دستگاه توکن به طور کلی دقیقاً به یک حساب مربوط می شود که توسط آن مدیریت می شود
dacstoken، اگرچه برخی از فروشندگان توکن هایی تولید می کنند که می توانند چندین حساب را پشتیبانی کنند.
به طور خلاصه، این ابزار:
· ایجاد و اداره می کند DACS حساب های مرتبط با مبتنی بر ضد و مبتنی بر زمان
گذرواژههای یکبار مصرف
· قابلیت اعتبارسنجی و آزمایش را فراهم می کند
· قابلیت احراز هویت خط فرمان را فراهم می کند
دوربین های مداربسته
فقط DACS مدیر باید بتواند این برنامه را با موفقیت اجرا کند
خط فرمان. زیرا DACS کلیدها و فایل های پیکربندی، از جمله فایل مورد استفاده برای
حسابهای فروشگاه، باید به مدیر محدود شوند، معمولاً این است
مورد، اما یک مدیر دقیق مجوزهای فایل را برای جلوگیری از دسترسی به همه تنظیم می کند
سایر کاربران
توجه داشته باشید
La dacs_token(8)[8] وب سرویس به کاربران سلف سرویس محدودی ارائه می دهد
قابلیت تنظیم یا تنظیم مجدد پین حساب خود و همگام سازی توکن آنها. آن را نیز
دارای حالت نمایشی برای ساده سازی تست و ارزیابی است.
PIN ها (حساب رمزهای عبور)
A dacstoken حساب به صورت اختیاری می تواند یک پین (یعنی رمز عبور) مرتبط با آن داشته باشد. به
برای احراز هویت در برابر چنین حساب کاربری، کاربر باید رمز عبور یک بار تولید شده را ارائه دهد
به نشانه و پین در TOKEN_REQUIRES_PIN[9] دستورالعمل پیکربندی را تعیین می کند
آیا هنگام ایجاد یا وارد کردن یک حساب، یک پین باید ارائه شود. در اعمال نمی شود
در ارتباط با -دلپین پرچم، زیرا فقط یک مدیر باید قادر به انجام آن باشد
آن تابع
یک هش از پین به جای خود پین در رکورد حساب ذخیره می شود. همینطور
روش استفاده شده توسط dacspasswd(1)[10] و dacs_passwd(8)[11] اعمال می شود، و بستگی به
PASSWORD_DIGEST[12] و PASSWORD_SALT_PREFIX[13] بخشنامه های در حال اجرا. اگر
PASSWORD_DIGEST[12] پیکربندی شده است، از آن الگوریتم استفاده می شود، در غیر این صورت یک زمان کامپایل
پیش فرض (SHA1) استفاده می شود. اگر کاربر پین را فراموش کند، پین قدیمی قابل بازیابی نیست
یا باید حذف شود یا باید یک مورد جدید تنظیم شود.
برخی از دستگاه های توکن دارای قابلیت پین هستند. کاربر باید یک پین وارد کند
دستگاه قبل از دستگاه یک رمز عبور یکبار مصرف منتشر می کند. این "PIN دستگاه" است
کاملاً متمایز از پین حسابی که توسط آن مدیریت می شود dacstoken، و این راهنما است
فقط مربوط به dacstoken پین. پین دستگاه همیشه باید در صورت امکان استفاده شود.
la dacstoken پین به شدت توصیه می شود و برای احراز هویت دو مرحله ای لازم است
(مگر اینکه یک عامل احراز هویت اضافی به روش دیگری اعمال شود).
از آنجایی که فقط مدیر مجاز به اجرای این دستور است، هیچ محدودیتی اعمال نمی شود
در مورد طول یا کیفیت پین هایی که سرپرست ارائه می کند؛ یک پیام هشدار دهنده
با این حال، اگر رمز عبور ضعیف در نظر گرفته شود که توسط آن تعیین شده است، منتشر می شود
PASSWORD_CONSTRAINTS[14] بخشنامه.
سر وقت کلمه عبور
هر دو نوع دستگاه رمز عبور یک بار مصرف، مقدار رمز عبور را با استفاده از یک ایمن محاسبه می کنند
الگوریتم هش کلیدی (RFC 2104[15]، حالت 198[16]). در روش مبتنی بر ضد، دستگاه
و سرور یک کلید مخفی و یک مقدار شمارنده را به اشتراک می گذارد که برای ایجاد یک عدد هش شده است
مقدار در یک ریشه خاص با تعداد معینی از رقم نمایش داده می شود. موفقیت آمیز
احراز هویت به دستگاه و سرور برای محاسبه رمزهای عبور منطبق نیاز دارد. هر بار که
دستگاه یک رمز عبور تولید می کند، شمارنده خود را افزایش می دهد. هنگامی که سرور یک تطابق دریافت می کند
رمز عبور، شمارنده خود را افزایش می دهد. زیرا امکان تبدیل شدن دو شمارنده وجود دارد
بدون هماهنگی، الگوریتم تطبیق سرور معمولاً رمز عبور مشتری را مجاز می کند
قرار گرفتن در "پنجره ای" از مقادیر شمارنده. روش مبتنی بر زمان مشابه است، اصلی است
تفاوت این است که زمان فعلی یونیکس (همانطور که توسط زمان(3)[17]، به عنوان مثال) است
برای ایجاد یک "پنجره گام زمانی" استفاده می شود که به عنوان یک مقدار شمارنده در محاسبات عمل می کند
از هش امن زیرا ممکن است ساعتهای بیدرنگ روی دستگاه و سرور نباشند
الگوریتم تطبیق سرور باید به اندازه کافی همگام شده باشد، همچنین باید به مشتری اجازه دهد
رمز عبور در تعدادی از پنجره های مرحله زمانی برای این دستگاه ها قرار می گیرد.
دوربین های مداربسته
به یک توکن ممکن است یک کلید مخفی دائمی (گاهی اوقات به نام OTP seed) توسط آن اختصاص داده شود
سازنده یا کلید ممکن است قابل برنامه ریزی باشد. این کلید مخفی توسط توکن ها استفاده می شود
رویه تولید رمز عبور و خصوصی نگه داشتن آن بسیار مهم است. اگر نشانه
قابل برنامه ریزی نیست، کلید از فروشنده گرفته می شود (معمولاً برای یک توکن HOTP
با ارائه شماره سریال دستگاه و هر سه رمز عبور متوالی). یک رکورد
هر نقشه برداری از شماره سریال تا کلید مخفی باید در مکانی امن نگهداری شود.
اگر کلید مخفی قابل برنامه ریزی باشد، همانطور که احتمالاً با یک کلاینت نرم افزاری باشد، اینطور است
لازم است حداقل باشد 128 بیت در طول؛ حداقل از 160 بیت توصیه می شود
کلید با یک رشته هگزادسیمال 16 کاراکتری (یا بیشتر) نشان داده می شود. کلید باید
از یک منبع با کیفیت رمزنگاری از بیت های تصادفی به دست می آید. برخی از مشتریان ممکن است
قادر به تولید یک کلید مناسب است، اما می توانید از آن استفاده کنید dacsexpr(1)[دو]:
% dacsexpr -e "تصادفی(رشته، 20)"
"bb2504780e8075a49bd88891b228fc7216ac18d9"
نوک
توکنها را میتوان برای مقاصد احراز هویت به غیر از ورود به سیستم رایانه استفاده کرد. برای
به عنوان مثال، با ارائه شماره حساب، پین و ارزش رمز، مشتریان می توانند به سرعت
از طریق تلفن احراز هویت شود، کاهش یا رفع نیاز به گران قیمت و
سوالات امنیتی وقت گیر
دستگاه ها و برنامه های رمز عبور یک بار مصرف دارای پارامترهای عملیاتی زیر هستند.
این پارامترها توالی رمز عبور تولید شده را تعیین می کنند. برخی عملیاتی
پارامترها ممکن است ثابت شوند (توسط استاندارد مربوطه یا به دلیل اجرا)، در حالی که
سایرین ممکن است به طور جزئی یا کامل توسط کاربر قابل تنظیم باشند. لطفا به
مراجع و مستندات سازنده برای جزئیات.
پایه
ریشه ای که رمزهای عبور در آن نمایش داده می شود.
مقابله با
فقط برای حالت HOTP، مقدار شمارنده فعلی.
رقم
تعداد ارقام در هر رمز عبور یک بار مصرف.
کلید
کلید مخفی (OTP seed).
شماره سریال
یک شناسه یا نام منحصر به فرد برای دستگاه.
اندازه گام زمانی
فقط برای حالت TOTP، عرض هر بازه زمانی، بر حسب ثانیه. همان رمز عبور
در یک بازه زمانی مشخص تولید خواهد شد. یعنی این «طول عمر» یا اعتبار است
دوره هر رمز عبور TOTP
علاوه بر این پارامترها، dacstoken از چندین حساب در هر حساب (یعنی در هر دستگاه) استفاده می کند
پارامتر:
پنجره پذیرش
هنگام تأیید یک رمز عبور HOTP، حداکثر تعداد رمزهایی که باید بعد از آن در نظر گرفته شود
رمز عبور مورد انتظار
بی اراده کار کردن
فقط برای حالت TOTP، تعداد ثانیه هایی که می توان ساعت سرور را تنظیم کرد
جلو یا عقب برای همگام سازی بهتر با دستگاه. این عادت دارد
توکنها یا نرمافزارهای کلاینتهایی که ساعتهایشان به خوبی با آنها هماهنگ نیست را جبران کنید
سرور
پنجره رانش
فقط برای حالت TOTP، اما مشابه پنجره پذیرش، حداکثر تعداد
فواصل زمانی (هر یک از اندازه گام های زمانی) برای جستجوی جلو و عقب هنگام اعتبارسنجی
در برابر رمز عبور داده شده
همگام سازی
فقط برای حالت HOTP، تعداد رمزهای عبور متوالی یکبار مصرف مورد نیاز است
همگام سازی حساب با دستگاه
نام کاربری
نام DACS حساب متصل به دستگاه
احراز هویت بر اساس دستگاه های رمز یک بار مصرف دارای مزایای زیر است:
· هر بار که یک کاربر احراز هویت می کند، یک رمز عبور متفاوت (با مقدار زیاد) ایجاد می شود
احتمال)؛ بنابراین کاربران نمی توانند "رمز عبور" را یادداشت کنند زیرا رمز عبور است
همیشه در حال تغییر؛ کاربران نمی توانند رمز عبور خود را فراموش کنند.
· پس از استفاده، رمز عبور حالت HOTP بلافاصله "مصرف" می شود و بعید است از آن استفاده شود
دوباره برای مدت طولانی؛ با پارامترهای پیکربندی مناسب، رمز عبور حالت TOTP
به طور خودکار در یک بازه زمانی نسبتاً کوتاه منقضی می شود و بعید است که باشد
دوباره برای مدت طولانی استفاده می شود؛
· اگر هیچ اصلاحی برای رانش ساعت مورد نیاز نباشد، یک حساب حالت TOTP می تواند فقط خواندنی داشته باشد
عمل؛
· از آنجا که بعید است رمز عبور یک عدد یا رشته ای باشد که به راحتی قابل حدس زدن باشد، باید باشد
قوی تر از اکثر رمزهای عبور انتخاب شده توسط کاربر باشد.
یک نشانه HOTP می تواند مبنای یک روش احراز هویت متقابل ("دو جهته") باشد. را
سرور رمز بعدی رمز خود را به کاربر نشان می دهد تا هویت آن را تأیید کند (با هر دو
احزاب شمارنده های خود را پیش می برند)، سپس مشتری رمز عبور بعدی را به سرور نشان می دهد
برای تایید هویت او؛
· اگر یک کلید sniffer بر روی رایانه کاربر نصب شود، یک رمز عبور حذف شده نصب نمی شود.
به مهاجم هر کار خوبی بکنید مگر اینکه الف مرد در وسط حمله[19] ممکن است. داده شده N
پسوردهای متوالی هنوز محاسبه رمز عبور بسیار دشوار است N + 1 بدون
دانستن کلید مخفی؛
· اشتراک گذاری یک حساب برای کاربران دشوارتر است (اگرچه کاربران ممکن است گاهی اوقات
این را به عنوان یک ناراحتی در نظر بگیرید).
· اگر یک dacstoken پین به یک حساب تخصیص داده می شود و مهاجم، حساب را بدست می آورد
رمز، هنوز برای مهاجم دشوار است که بدون دانستن پین، احراز هویت را انجام دهد.
یک راه سریع و سریع برای غیرفعال کردن یک حساب کاربری، توقیف یک حساب است
رمز سخت افزاری (به عنوان مثال، اگر یک کارمند اخراج شود)، اگرچه یک حساب می تواند توسط آن غیرفعال شود
این برنامه یا با استفاده از لغو فهرست[20] ؛
· در مورد یک کلاینت نرم افزاری که روی یک دستگاه تلفن همراه اجرا می شود، مانند تلفن یا PDA،
کاربران در حال حاضر دستگاه را با خود حمل می کنند. مشتریان رایگان در دسترس هستند، بنابراین وجود دارد
ممکن است هزینه اضافی نداشته باشد (توجه داشته باشید که دستگاه های تلفن همراه ممکن است همان را ارائه ندهند
مقاومت در برابر دستکاری، دوام، محرمانه بودن کلید، دقت ساعت و غیره یک توکن سخت افزاری).
دستگاه های رمز عبور یکبار مصرف دارای معایب احتمالی زیر هستند:
· برای یک توکن سخت افزاری یک بار هزینه وجود دارد (بسته به حجم خرید،
می توانید انتظار داشته باشید که هر کدام 10 تا 100 دلار آمریکا بپردازید، و این امکان وجود دارد که مجبور شوید
ژتون گم شده یا شکسته یا باتری ژتون را جایگزین کنید (برخی از واحدها دارای یک
باتری غیر قابل تعویض، که آنها را پس از چند سال یکبار مصرف می کند).
· پیکربندی اولیه تا حدودی دشوارتر از سایر احراز هویت است
روشها و کاربرانی که با دستگاهها آشنا نیستند باید در مورد آنها آموزش داده شود
استفاده کنید؛
· اگرچه آنها معمولاً بسیار کوچک هستند (مثلاً 5cm x 2cm x 1cm) و می توان آنها را به
یک جاکلیدی یا بند یا جاکلیدی، یا در کیف پول نگهداری میشود، ممکن است کاربران مجبور به حمل ژتون شوند.
دور با آنها؛
· کاربران می توانند فراموش کنند که توکن خود را همراه خود داشته باشند یا رمز را گم کنند.
· یک دستگاه تلفن همراه (با یک کلاینت نرم افزاری) احتمالاً هدفی برای سرقت است، بیشتر
بنابراین از یک نشانه سخت افزاری (از این رو اهمیت اضافی یک پین برای این دستگاه)؛
· برخلاف یک توکن سخت افزاری که در آن کلید به صورت غیرقابل دسترسی و ضد دستکاری سوزانده می شود
حافظه، کلید پیکربندی شده در یک کلاینت نرم افزاری احتمالاً توسط آن قابل خواندن است
مالک، امکان اشتراک گذاری حساب را فراهم می کند.
· وارد کردن یک مقدار 40 کاراکتری یا بیشتر در یک دستگاه تلفن همراه می تواند خسته کننده باشد
و مستعد خطا؛
· هنگامی که یک دستگاه TOTP یک رمز عبور ایجاد می کند، رمز عبور جدید نمی تواند تولید شود
پنجره مرحله زمانی بعدی، که کاربر را ملزم می کند 30 (یا احتمالاً 60) ثانیه صبر کند (به عنوان مثال،
اگر خطای ورودی انجام شود)؛
· خواندن برخی از دستگاه ها در شرایط کم نور دشوار است. کاربران پیرچشمی و آن ها
با اختلال بینایی ممکن است در خواندن نمایشگر مشکل داشته باشد.
حساب ها
حساب های مدیریت شده توسط dacstoken کاملاً جدا از حساب های استفاده شده توسط
local_passwd_authenticate[21] یا هر چیز دیگری DACS ماژول احراز هویت
حسابهای دستگاههای HOTP و TOTP ممکن است با هم ترکیب شوند یا جداگانه نگهداری شوند. اگر مجازی
نوع آیتم filetore auth_hotp_token تعریف شده است، فقط برای حساب های مرتبط استفاده می شود
با توکن های HOTP به طور مشابه، اگر آیتم ذخیره فایل مجازی نوع auth_totp_token باشد
تعریف شده، فقط برای حساب های مرتبط با توکن های TOTP استفاده می شود. در صورتی که هر یک از انواع موارد است
تعریف نشده است، حساب ها از طریق قابل دسترسی هستند DACS ذخیره فایل مجازی با استفاده از نوع آیتم
auth_token. فرض بر این است که مجوزهای فایل در پایگاه داده حساب به گونه ای است که همه
دسترسی محدود به مدیر و local_token_authenticate.
اگر حساب برای دو نوع دستگاه هستند ترکیب شده، زیرا هر نام کاربری برای یک
روش احراز هویت باید منحصر به فرد باشد، اگر فردی هر دو نوع توکن را داشته باشد باید
نام های کاربری متفاوتی به آنها اختصاص داده شود. بنابراین، برای مثال، اگر Auggie یک توکن HOTP و یکی داشته باشد
توکن TOTP، اولی ممکن است با نام کاربری auggie-hotp و دومی با نام کاربری مطابقت داشته باشد
auggie-totp; فرم ورود ممکن است شامل یک ورودی حالت دستگاه باشد که به Auggie اجازه می دهد
به سادگی "auggie" را در قسمت نام کاربری تایپ کنید و جاوا اسکریپت را به طور خودکار اضافه کنید
پسوند مناسب بر اساس حالت انتخاب دستگاه. یک عیب آشکار این
پیکربندی این است که منجر به دو متفاوت می شود DACS هویت برای همان فرد؛
اگر یک قانون کنترل دسترسی برای شناسایی Auggie لازم باشد، باید این را به خاطر بسپارید
به صراحت اگر هر دو توکن باید به یک شکل نگاشت شوند DACS هویت، بند Auth می تواند
پس از احراز هویت موفق، پسوند را حذف کنید، اما مدیر این کار را انجام می دهد
باید مراقب کیس دو Auggie مختلف باشید که هر کدام از نوع دستگاه متفاوتی استفاده می کنند.
پیکربندی هر دو نوع آیتم auth_hotp_token و auth_totp_token (یا فقط یکی از آنها
و auth_token) حساب ها را جدا نگه می دارد و اجازه می دهد تا از همان نام کاربری استفاده شود
هر دو نوع دستگاه بنابراین آگی میتواند یک سابقه حساب با همان حساب داشته باشد
نام کاربری برای هر دو نوع دستگاه این رویکرد مستلزم مشخص شدن حالت دستگاه است
زمانی که عملیاتی درخواست می شود تا بتوان از نوع مورد صحیح استفاده کرد. این بدان معنی است که
کاربران باید بدانند که از چه نوع دستگاهی استفاده می کنند (شاید با چسباندن یک برچسب به آن).
به جزئیات مهم در مورد مراجعه کنید DACS هویت ها[22].
La -vfs برای پیکربندی یا پیکربندی مجدد نوع آیتم auth_token استفاده می شود.
فقط کلیدهایی که حداقل طول کلید مورد نیاز را برآورده می کنند (16 بایت) ممکن است با ذخیره شود
اطلاعات حساب (به عنوان مثال، با -تنظیم or -وارد كردن). در زمینه های دیگر، الزام است
اجرا نمی شود.
کلید مخفی توسط رمزگذاری شده است dacstoken وقتی در فایل حساب نوشته می شود. در
نوع آیتم فایل ذخیرهسازی مجازی auth_token_keys کلیدهای رمزگذاری را مشخص میکند dacstoken
برای استفاده؛ را - جوهرها و کلیدهای خروجی پرچمها گزینههای جایگزین را مشخص میکنند (نگاه کنید به dacskey(1)[23]). اگر
کلیدهای رمزگذاری گم شده اند، کلیدهای مخفی عملا غیرقابل بازیابی هستند.
مهم
اگر مهاجم یک کلید مخفی را کشف کند، پسوردهای قابل استفاده را بدون در اختیار داشتن ایجاد می کند
نشانه دشوار نخواهد بود. حداقل برای برخی از نشانه های سخت افزاری، کلید سوخته است
در دستگاه است و قابل تغییر نیست. در این صورت اگر کلید دستگاه نشت کرده باشد
باید نابود شود. اگر یک توکن گم شود، حساب مربوطه باید غیرفعال شود.
در صورتی که مهاجم یک رمز گمشده را پیدا کند یا یک کلید مخفی پیدا کند که دارای یک کلید قوی است
پین مرتبط با حساب، دستیابی مهاجم را دشوار می کند
دسترسی به
مهم
· این روش احراز هویت در برابر محصولات OTP زیر آزمایش شده است:
· Authenex یک کلید 3600[24] رمز سخت افزاری یکبار مصرف (HOTP).
· فییتیان فن آوری[25] سخت افزار رمز عبور یکبار مصرف OTP C100 و OTP C200
توکن های ارائه شده توسط HyperSecu اطلاعات سیستم های[26]؛ و
· سوگند - دشنام رمز[27] نرم افزار نرم افزاری توسط Archie Cobbs که هر دو را پیاده سازی می کند
HOTP و TOTP روی آی پاد دست زدن به، آیفون و اپل[28].
· فن آوری های Feitian iOATH بازگشت به مطلب[29] نرم افزار HOTP برای iPod
لمسی، آیفون و آیپد.
سایر تولیدکنندگان علاقه مند به پشتیبانی از محصولات خود هستند DACS هستند
به تماس با Dss خوش آمدید.
· عکس[30]: Feitian OTP C200، iPod Touch با برنامه OATH Token، Authenex A-Key
3600 (در جهت عقربه های ساعت از بالا سمت چپ)
· اگرچه این پیاده سازی فقط باید با محصولات مشابه و منطبق کار کند
این محصولات به طور رسمی توسط DACS.
· توکن های سخت افزاری را می توان مستقیماً از فروشندگان خریداری کرد.
· هر گونه مشکل در استفاده از نشانه ها برای احراز هویت از طریق DACS نیستند
مسئولیت فروشنده توکن
واردات و صادرات OTP حساب ها
شرح حسابها و توکنهای آنها را میتوان بارگیری یا تخلیه کرد (به بخش مراجعه کنید -وارد كردن
و گزارش پرچم ها). این امر تهیه انبوه، پشتیبان گیری و قابلیت حمل را ساده می کند. در
اطلاعات حساب در قالب XML ساده و مخصوص برنامه (تقریباً) نوشته شده است.
قالب درک شده توسط dacstoken از یک عنصر ریشه ("otp_tokens") و به دنبال آن تشکیل شده است
صفر یا چند عنصر "otp_token"، یکی در هر خط، هر کدام الزامی و اختیاری دارند
ویژگی ها (در زیر توضیح داده شده است). اعلان XML باید حذف شود. فضای خالی پیشرو و
خطوط خالی نادیده گرفته می شوند، همانطور که نظرات XML تک خطی نادیده گرفته می شوند. علاوه بر این، خطوطی با "#"
به عنوان اولین کاراکتر بدون فضای سفید نادیده گرفته می شوند. ویژگی های اختیاری که نیستند
موجود به مقادیر پیش فرض اختصاص داده شده است. الگوریتم خلاصه پیش فرض SHA1 است. ویژگی کوتاه
از نام ها برای صرفه جویی در فضا استفاده می شود. ویژگی های شناسایی نشده و ویژگی های نامربوط به
حالت دستگاه، نادیده گرفته می شوند. کاراکترهای نقل قول تک یا دوگانه (یا هر دو) در ویژگی XML
مقادیر باید با مرجع موجودیت مربوطه جایگزین شوند ("'" و """،
به ترتیب)، همانطور که کاراکترهای "<" (کمتر از) و "&" (امپرسند) باید باشند. یک ">" (بزرگتر
than) کاراکتر ممکن است به صورت اختیاری با یک دنباله ">" جایگزین شود، اما نه موجودیت دیگری
مراجع شناسایی می شوند.
ویژگی های شناخته شده عبارتند از:
· ب:
پایه
- ریشه برای مقدار OTP
[اختیاری:
10 (به طور پیش فرض)
16، یا 32]
ج:
مقابله با
- مقدار شمارنده فعلی برای HOTP، در صورت وجود قبل از آن به صورت هگز
با "0x" (یا "0X")، اعشاری در غیر این صورت
[اختیاری:
پیش فرض است 0]
· د:
OTP دستگاه حالت
-- "c" (برای HOTP)
یا "t" (برای TOTP)
[ضروری]
· dn:
digest-name
-- یکی از الگوریتم های هش ایمن
[اختیاری:
SHA1 (پیشفرض)،
SHA224، SHA256،
SHA384، SHA512]
· دکتر:
ساعت رانش
- تنظیم ساعت، در ثانیه، برای TOTP
[اختیاری]
· ek:
کلید رمزگذاری شده
- کلید مخفی رمزگذاری شده، کدگذاری پایه 64
[ضروری:
فقط سوابق حساب OTP]
· en:
وضعیت فعال
-- 1 برای فعال،
0 برای معلولین
[ضروری]
· k:
کلید متن ساده
- کلید مخفی رمزگذاری نشده
[ضروری]
· لو:
اخرین بروزرسانی
- زمان یونیکس آخرین به روز رسانی رکورد
[اختیاری: پیشفرض زمان فعلی است]
· nd:
n رقم ها
- تعداد ارقام برای مقدار OTP
[اختیاری:
پیش فرض است 6 برای HOTP،
8 برای TOTP]
· پ:
متن ساده-PIN
- مقدار پین متن ساده برای حساب
[ضروری:
مگر اینکه ph وجود داشته باشد،
فقط برای واردات]
· ph:
هش پین
- مقدار پین هش شده برای حساب
[اختیاری:
تولید شده توسط dacstoken
فقط برای صادرات و فایل های حساب OTP]
· s:
شماره سریال
- رشته شناسه منحصر به فرد برای دستگاه
[ضروری]
· ts:
مرحله زمانی
- مقدار مرحله زمانی، در ثانیه، برای TOTP
[اختیاری:
پیش فرض است 30]
· شما:
نام کاربری
-- معتبر DACS نام کاربری مرتبط با این حساب
[ضروری]
مثال زیر دو حساب را توضیح می دهد که ممکن است با استفاده از آن ایجاد شوند -وارد كردن پرچم:
دوربین های مداربسته
از آنجایی که سوابق وارد شده شامل کلیدهای مخفی رمزگذاری نشده برای دستگاه های OTP است،
فایل صادر شده باید رمزگذاری شده نگه داشته شود (مثلاً با استفاده از openssl) یا حداقل داشته باشند
مجوزهای فایل مناسب
توجه داشته باشید
یک قالب استاندارد برای تهیه دستگاه OTP در حال توسعه است. این قالب ممکن است
توسط یک نسخه آینده از dacstoken، یا ممکن است یک ابزار تبدیل نوشته شود.
فرمت استاندارد احتمالاً بسیار پیچیده تر از فرمت استاندارد است DACS فرمت.
OPTIONS
علاوه بر استاندارد داکسوپشن ها[1]، یک لیست طولانی از پرچم های خط فرمان هستند
شناسایی شده. وقتی یک نام کاربری داده می شود، مقادیر پیش فرض مرتبط با آن حساب هستند
استفاده می شود، در غیر این صورت از پیش فرض های توصیه شده یا خاص پیاده سازی استفاده می شود. اینها پیش فرض
مقادیر معمولاً می توانند در خط فرمان لغو شوند. برخی از پرچم ها فقط با علامت مجاز هستند
حالت نشانه خاص (به عنوان مثال، -پیشخوان, نمایش عالی) و ظاهر آنها دلالت بر آن حالت دارد،
ساختن حالت پرچم غیر ضروری؛ سایر پرچم ها مستقل از حالت هستند (به عنوان مثال، -حذف,
-قابل امکان). استفاده از ترکیب پرچم ناسازگار متقابل یک خطا است. پرچم هایی که هستند
بدون معنی با عملیات انتخاب شده نادیده گرفته می شوند، اگرچه هنوز هم دلالت بر یک حالت دارند.
مقادیر هگزادسیمال به حروف بزرگ و کوچک حساس نیستند. اگر یک مقدار شمارنده مورد نیاز است اما نامشخص است
(به عنوان مثال، هنگام ایجاد یک حساب کاربری)، مقدار شمارنده اولیه صفر استفاده می شود.
La op-spec عملیاتی که باید انجام شود را به همراه صفر یا بیشتر مشخص می کند تغییر
پرچم ها اگر op-spec گم شده است، فهرست عملیات انجام می شود. یک op-spec یکی از
زیر است:
-auth مقدار otp
این پرچم شبیه -تصدیق[31] به جز:
· آ نام کاربری مورد نیاز است، که از آن تمام پارامترها به دست می آید (مانند کلید).
· اگر حساب دارای پین باشد، باید ارائه شود.
· اگر حساب برای یک نشانه HOTP باشد، در صورت احراز هویت، شمارنده به روز می شود
موفق است
وضعیت خروج صفر نشان دهنده احراز هویت موفق است، در حالی که هر مقدار دیگری
یعنی احراز هویت ناموفق است.
-تبدیل نام فایل
یک فرمت قدیمی تر (قبل از انتشار 1.4.25) فایل حساب رمزی را از آن بارگیری کنید نام فایل ("-"
به معنی خواندن از stdin)، تبدیل آن به فرمت جدیدتر، و نوشتن آن به stdout (به عنوان
by گزارش). این پرچم منسوخ شده است و این قابلیت در آینده حذف خواهد شد
رها کردن DACS.
-ایجاد کردن
ایجاد یک حساب کاربری برای نام کاربری، که قبلاً نباید وجود داشته باشد. از جهات دیگر آن را
کار می کند مانند -تنظیم[32]. هنگام ایجاد یک حساب کاربری جدید، -سریالی لازم است و -کی is
ضمنی. اگر نه -قابل امکان پرچم هنگام ایجاد یک حساب کاربری ارائه می شود، غیرقابل قبول ضمنی است.
اگر نه -پیشخوان پرچم ارائه شده است، پیش فرض صفر استفاده می شود. اگر یکی از پرچم های پین باشد
در حال حاضر، پین داده شده به حساب اختصاص داده می شود، در غیر این صورت حساب تخصیص نمی یابد
یک پین داشته باشید (یا پین موجود تغییر نخواهد کرد).
-جاری
فاکتور متحرک فعلی را نمایش دهید (یعنی مقدار شمارنده برای HOTP یا فاصله
مقدار برای TOTP) و OTP مورد انتظار برای نام کاربری. برای HOTP، شمارنده پیشرفته است. همه
پارامترها از حساب گرفته شده است.
-حذف
حذف اکانت برای نام کاربری. کلید مخفی دستگاه و دیگر عملیاتی
پارامترها از بین خواهند رفت
-دلپین
در صورت وجود، پین را در حساب کاربری حذف کنید نام کاربری، خروج از حساب بدون a
پین
گزارش
اطلاعات مربوط به همه حسابها یا فقط یک حساب را بنویسید نام کاربری داده می شود، به
stdout. با این حال، اگر حالتی انتخاب شود، فقط حسابهایی که آن حالت را دارند، خواهند بود
نوشته شده است. این اطلاعات ممکن است با استفاده مجدد بارگیری شوند -وارد كردن or -واردات-جایگزینی. خروجی
باید به شکل رمزگذاری شده ذخیره شود، یا حداقل مجوزهای فایل آن را داشته باشد
مناسب تنظیم کنید مثلا:
% dacstoken -uj EXAMPLE -export | openssl enc -aes-256-cbc > dacstoken-exported.enc
بعداً ممکن است کاری انجام دهید:
% openssl enc -d -aes-256-cbc < dacstoken-exported.enc | dacstoken -uj EXAMPLE -import -
-h
-کمک
نمایش یک پیام راهنما و خروج.
هاتپ-نمایش تعداد
نمایش دادن تعداد رمزهای عبور متوالی HOTP از یک مقدار شمارنده و کلید معین. در
-پیشخوان flag را می توان برای تعیین مقدار اولیه شمارنده استفاده کرد. کلید می تواند باشد
مشخص شده با استفاده از -کی, کلید-فایل، یا -کلید اعلان. اگر یک نام کاربری ارائه شده است،
مقدار اولیه و کلید شمارنده از حساب HOTP کاربر به دست می آید، مگر اینکه یکی از آنها باشد
مقدار در خط فرمان لغو می شود. مقدار پیشخوان ذخیره شده حساب نیست
اصلاح شده. این عمدتا برای اهداف اشکال زدایی در نظر گرفته شده است.
-وارد كردن نام فایل
-واردات-جایگزینی نام فایل
بارگیری اطلاعات حساب و رمز از نام فایل؛ اگر نام فایل "-" است، stdin خوانده می شود.
اگر حالتی انتخاب شود، فقط حسابهایی که آن حالت را دارند خوانده میشوند. با -وارد كردن آن هست
خطا در صورتی که یک حساب وارد شده از قبل وجود داشته باشد و پردازش متوقف شود. -واردات-جایگزینی
یک حساب موجود را با داده های وارد شده جایگزین می کند.
-l
فهرست
طولانی
If نام کاربری ارائه شده است، اطلاعات مربوط به حساب مربوطه را نمایش می دهد. اگر
-سریالی پرچم داده شده است، اطلاعات مربوط به حساب را با سریال مشخص شده نمایش می دهد
عدد؛ در غیر این صورت همه حساب ها را فهرست کنید. اگر حالت پرچم در هر یک از این موارد داده می شود،
با این حال، فقط آن دسته از حساب هایی را فهرست کنید که حالت عملیاتی آنها مشخص شده است. اگر این
پرچم تکرار می شود، یا با طولانی پرچم، جزئیات بیشتر نمایش داده می شود: نوع دستگاه،
وضعیت حساب، شماره سریال دستگاه، مقدار شمارنده (برای HOTP)، مقدار دریفت ساعت (برای
TOTP)، چه حساب دارای پین باشد یا نه (که با نماد "+" یا "-" نشان داده شده است)، و
زمان و تاریخ آخرین تغییر حساب
-تغییر نام شناسه کاربری جدید
تغییر نام حساب موجود برای نام کاربری به شناسه کاربری جدید، و جدید را اصلاح کنید
حساب با استفاده از آرگومان های خط فرمان (مانند -تنظیم[32]). زیرا این امر مستلزم دو مرحله است
که به صورت اتمی انجام نمی شوند، اگر خطایی رخ دهد ممکن است حساب جدید انجام شود
ایجاد شود و حساب قدیمی همچنان وجود داشته باشد.
-تنظیم
La -تنظیم flag برای تغییر حساب موجود استفاده می شود نام کاربری بر اساس یک یا چند
آرگومان های اصلاح کننده (-پایه, -پیشخوان, -اعداد, غیرقابل قبول or -قابل امکان, -کی (و یا کلید-فایل
or -کلید اعلان), پین (و یا پین-فایل or پین-اعلان)، یا -سریالی). حالت نیز می تواند باشد
با مشخص کردن تغییر کرد حالت، اما پارامترهای خاص حالت مرتبط با حساب
از بین خواهد رفت (به عنوان مثال، اگر یک حساب HOTP وجود داشته باشد، مقدار شمارنده فعلی حذف خواهد شد
به یک حساب TOTP تغییر می کند) و پارامترهای عمومی (مانند شماره سریال) خواهد بود
حفظ می شود مگر اینکه در خط فرمان لغو شود.
-sync لیست رمز عبور
در حالت HOTP، این تلاش میکند تا سرور را با توکن for همگامسازی کند نام کاربری.
لیست رمز عبور یک لیست جدا شده با کاما از سه کلمه عبور متوالی است که توسط the
توکن کاربر (این عملکرد "همگام سازی خودکار" نیز از طریق در دسترس است
local_token_authenticate[3]). دنباله داده شده باید با دنباله محاسبه شده مطابقت داشته باشد
کاملابا توجه به پارامترهای عملیاتی موجود؛ به عنوان مثال، صفرهای ابتدایی هستند
قابل توجه است، همانطور که ریشه نمایشگر و تعداد ارقام OTP موجود است. اگر
همگام سازی موفقیت آمیز است، کاربر باید بتواند با استفاده از بعدی احراز هویت کند
رمز عبور تولید شده توسط دستگاه یک الگوریتم جستجوی جامع با استفاده از افزایش
مقادیر شمارنده با محدودیت زمان کامپایل در حداکثر تعداد استفاده می شود
محاسبات جستجو با مقدار شمارنده ذخیره شده فعلی سرور آغاز می شود، مگر اینکه
یکی با استفاده از ارائه شده است -پیشخوان. اگر این عملیات ناموفق باشد، ممکن است مدت زیادی طول بکشد
قبل از پایان آن؛ کاربر باید برای کمک با یک مدیر تماس بگیرد.
در حالت TOTP، سعی کنید تعیین کنید که ساعت سیستم چقدر با آن هماهنگ است
ساعت نشانه و نمایش نتیجه. از این اطلاعات می توان برای به روز رسانی استفاده کرد
رکورد توکن کاربر برای جبران ساعت های ضعیف همگام شده یا تنظیم
پارامترهای اعتبارسنجی کلید توکن و نام الگوریتم هضم هستند
به دست آمده برای رکورد نشانه متعلق به نام کاربریاگر داده شود؛ در غیر این صورت کلید
درخواست می شود و الگوریتم هضم مورد استفاده یا از دستور به دست می آید
خط یا پیش فرض فقط اولین رمز عبور در لیست رمز عبور استفاده می شود.
-Totp-Timestep, -اعدادو -پایه تاپ گزینه ها در طول این عملیات موثر هستند.
-تست
چند خودآزمایی انجام دهید، سپس خارج شوید. وضعیت خروج غیر صفر به معنای وقوع خطا است.
نمایش عالی تعداد
نمایش دنباله ای از رمزهای عبور TOTP با استفاده از پارامترهای فعلی:
اندازه فاصله (-Totp-Timestep، تعداد ارقام (-اعدادو پایه (-پایه).
پارامترهای ذخیره شده حساب تغییر نکرده است. این عمدتا برای اشکال زدایی در نظر گرفته شده است
اهداف.
اگر یک نام کاربری ارائه شده است (باید با دستگاه TOTP مرتبط باشد)، کلید و
سایر پارامترهای ذخیره شده از حساب مورد استفاده قرار می گیرند مگر اینکه توسط خط فرمان لغو شوند
پرچم ها دنباله رمزهای عبور برای تعداد فواصل قبل و بعد از زمان فعلی،
همراه با رمز عبور برای زمان فعلی چاپ می شود.
اگر نه نام کاربری داده می شود، برنامه کلید را درخواست می کند (که تکرار می شود) و استفاده می کند
پرچم های خط فرمان یا مقادیر پیش فرض برای پارامترها. سپس رمز عبور TOTP را منتشر می کند
برای زمان فعلی هر بار که Return/Enter را فشار دهید. تایپ EOF باعث فوری می شود
خاتمه دادن.
-تصدیق مقدار otp
If مقدار otp رمز عبور یکبار مصرف بعدی مورد انتظار است، وضعیت خروج صفر را به
نشان دهنده موفقیت؛ هر مقدار دیگری نشان دهنده شکست است. اگر نام کاربری داده شده است، پارامترها
برای اعتبارسنجی، از جمله کلید، از آن حساب به دست میآیند مگر اینکه روی آن لغو شود
خط فرمان وضعیت سرور تغییر نکرده است. به عنوان مثال، یک شمارنده HOTP نیست
پیشرفته اگر نه نام کاربری داده می شود، حالت پرچم باید استفاده شود و پارامترها
لازم برای آن حالت باید داده شود، از جمله یک کلید. برای حالت HOTP، یک مقدار شمارنده
باید فراهم شود. برای حالت TOTP، پارامترهای خط فرمان در این مدت موثر هستند
اعتبار سنجی. dacstoken تست خواهد کرد که آیا مقدار otp اعتبار در برابر پارامترهای موجود در
اثر.
در زیر تغییر پرچم ها درک می شوند:
-همه
با -تنظیم و نه نام کاربری، تغییرات را در آن اعمال کنید تمام حساب ها. از این می توان استفاده کرد
برای مثال، همه حساب ها را فعال یا غیرفعال کنید. در - جوهرها و کلیدهای خروجی پرچم ها هستند
مورد احترام اگر خطایی رخ دهد پردازش بلافاصله متوقف می شود، در این صورت فقط برخی از آنها
حساب ها ممکن است اصلاح شده باشند.
-پایه تعداد
استفاده کنید تعداد به عنوان پایه (رادیکس) هنگام نمایش OTP. ارزش تعداد محدود به
10 (به طور پیش فرض)، 16، یا 32.
-پیشخوان تعداد
این مقدار شمارنده HOTP 8 بایتی است که باید تنظیم شود، اگر قبل از آن به صورت یک مقدار هگز بیان می شود.
با "0x" (یا "0X")، اعشاری در غیر این صورت. صفرهای پیشرو ممکن است حذف شوند. این به معنای HOTP است
حالت برای دستگاههای رمزی، تنظیم مجدد شمارنده (شمارگر مدولو) ممکن نیست
سرریز) به این دلیل که با این فرض، توالی رمز عبور تکرار می شود
که کلید تغییر نکرده است. پیاده سازی نرم افزار ممکن است این محدودیت را نداشته باشد،
با این حال، بنابراین مراقب پیامدهای امنیتی باشید.
-اعداد تعداد
استفاده کنید تعداد ارقام هنگام نمایش OTP. ارزش تعداد محدود به 6, 7, 8 (
پیش فرض)، یا 9 با پایه 10. محدود به 6 با پایه 32 و نادیده گرفته می شود
پایه 16 (خروجی هگزا).
غیرقابل قبول
اکانت را غیرفعال کنید نام کاربری. local_token_authenticate ماژول، و -auth و
-تصدیق flags، به کاربر اجازه احراز هویت را تا زمانی که حساب کاربری نداشته باشد، نمی دهد
فعال است، اگرچه ممکن است عملیات دیگری همچنان روی حساب انجام شود. اگر -قابل امکان
پس از آن استفاده می شود، حساب برای احراز هویت قابل استفاده خواهد بود و می باشد
به حالت خود در زمان غیرفعال شدن بازیابی شد. غیرفعال کردن یک خطا نیست
حساب قبلاً غیرفعال شده است
-قابل امکان
فعال کردن حساب برای نام کاربری. local_token_authenticate ماژول اجازه خواهد داد
کاربر برای احراز هویت فعال کردن یک حساب کاربری که قبلاً فعال شده است یک خطا نیست.
-پنجره hotp تعداد
اگر رمز عبور HOTP مورد انتظار با رمز عبور داده شده مطابقت ندارد، سعی کنید با رمز عبور مطابقت داشته باشید
تعداد رمزهای عبور پس از رمز عبور مورد انتظار در دنباله. مقدار صفر برای تعداد
این جستجو را غیرفعال می کند.
- جوهرها نوع آیتم
برای رمزگشایی کلیدهای مخفی، از فروشگاه شناسایی شده توسط نوع آیتم، احتمالاً
در dacs.conf پیکربندی شده است.
-کی کلید
استفاده کنید کلید به عنوان کلید مخفی، که به عنوان یک رشته رقمی هگزا بیان می شود.
دوربین های مداربسته
ارائه یک کلید در خط فرمان امن نیست زیرا ممکن است برای آن قابل مشاهده باشد
سایر فرآیندها
کلید-فایل نام فایل
کلید مخفی را که به صورت یک رشته رقمی هگزا بیان شده است، بخوانید نام فایل. اگر نام فایل is
"-"، کلید از stdin خوانده می شود.
-کلید اعلان
درخواست کلید مخفی، که به صورت یک رشته رقمی هگزا بیان می شود. ورودی بازتاب داده نمی شود.
حالت حالت otp
این نوع توکن (حالت دستگاه OTP) را برای استفاده مشخص می کند.
با -تنظیم, -ایجاد کردنو عملیات اعتبار سنجی و همگام سازی. در حالت otp شاید
یا شمارنده یا هاتپ برای حالت شمارنده، یا زمان یا تاپ برای حالت مبتنی بر زمان. این
هنگام ایجاد یک حساب کاربری جدید، پرچم مورد نیاز است.
کلیدهای خروجی نوع آیتم
برای رمزگذاری کلیدهای مخفی، از فروشگاه شناسایی شده توسط نوع آیتم، احتمالاً تعریف شده است
در dacs.conf.
پین پینوال
استفاده کنید پینوال به عنوان پین مخفی برای حساب.
دوربین های مداربسته
ارائه یک پین در خط فرمان امن نیست زیرا ممکن است برای آن قابل مشاهده باشد
سایر فرآیندها
محدودیت های پین خ
بجای استفاده از PASSWORD_CONSTRAINTS[14]، استفاده کنید خ (داشتن نحو یکسان و
semantics) برای توصیف الزامات یک PIN.
توجه داشته باشید
الزامات یک پین برای پین هایی که از طریق پرچم خط فرمان به دست می آیند و برای آن ها اعمال می شود
از طریق وارد کردن (با استفاده از ویژگی "p") به دست می آید. الزامات نیست
با این حال، "عطف به ماسبق"، بنابراین تغییر الزامات روی پین های آن تاثیری نمی گذارد
حساب های موجود یا حساب های وارداتی که قبلا صادر شده اند (دارای یک
ویژگی "ph").
پین-فایل نام فایل
پین مخفی را از آن بخوانید نام فایل. اگر نام فایل "-" است، پین از stdin خوانده می شود.
پین-اعلان
پین مخفی را درخواست کنید. ورودی بازتاب داده نمی شود.
-rnd
برای استفاده های بعدی رزرو شده است.
-بذر خ
برای استفاده های بعدی رزرو شده است.
-سریالی خ
شماره سریال، خ، یک شناسه (به ظاهر) منحصر به فرد است که به توکن اختصاص داده شده است.
این گزینه با -تنظیم, -ایجاد کردنو فهرست پرچم ها یک شماره سریال
یک دستگاه OTP خاص را شناسایی می کند و نیازی به مخفی نگه داشتن آن نیست. خاصیت منحصر به فرد بودن
در یک واحد ذخیره سازی نوع آیتم اعمال می شود. یعنی شماره سریال تمام HOTP ها
دستگاه ها باید منحصر به فرد باشند، شماره سریال همه دستگاه های TOTP باید منحصر به فرد باشد، و اگر
حسابهای دو نوع دستگاه با هم ترکیب میشوند، همه شماره سریال دستگاه باید باشد
منحصر بفرد. هر رشته قابل چاپ پذیرفته می شود. اگر مشتری نرم افزاری در حال تولید است
رمزهای عبور، می توانید از شماره سریال دستگاه استفاده کنید یا هر توصیفی مناسب را انتخاب کنید
رشته ای که قبلاً به دستگاهی اختصاص داده نشده است.
توجه داشته باشید
حوزه قضایی که هم توکنهای سختافزاری را اجازه میدهد (یا ممکن است در نهایت اجازه دهد).
برنامههای کاربردی مشتری تولیدکننده نرمافزار باید پذیرش رسمی را در نظر بگیرند
طرح نامگذاری برای توکن های آن برای مثال، مدیر ممکن است "-hw" را به آن اضافه کند
شماره سریال فروشنده برای تشکیل dacstoken شماره سریال. برای نرم افزار
توکنها، مدیر ممکن است a را ایجاد کند dacstoken شماره سریال با الحاق
"-sw" به شماره سریال فروشنده دستگاه.
-totp-delta تعداد
تنظیم زمان پایه توسط تعداد فواصل (هر یک از اندازه گام تعداد ثانیه) زمانی که
محاسبه TOTP در تعداد ممکن است منفی، صفر یا مثبت باشد. این برای اصلاح استفاده می شود
برای ساعت هایی که به اندازه کافی هماهنگ نیستند.
-دریفت بالا nwindows
برای TOTP، از اندازه پنجره استفاده کنید nwindows (از نظر اندازه فاصله) برای
اعتبار سنجی. اگر nwindows is 0، مقدار TOTP محاسبه شده باید با مقدار داده شده مطابقت داشته باشد
دقیقا. اگر nwindows is 1، به عنوان مثال، dacstoken سعی خواهد کرد با TOTP داده شده مطابقت داشته باشد
مقدار در بازه های قبلی، فعلی و بعدی. این اجازه می دهد تا ساعت در
سیستم در حال اجرا dacstoken (و یا local_token_authenticate) و دستگاه تولید توکن به
کمتر هماهنگ شود
دوربین های مداربسته
اگرچه ساعتهای همگام ضعیف را جبران میکند، اما ارزش آن را افزایش میدهد
nwindows با افزایش طول عمر یک رمز عبور یکبار مصرف، سیستم را ضعیف می کند.
-totp-hash جلبک
استفاده کنید جلبک به عنوان الگوریتم هضم با TOTP. ارزش جلبک محدود به (مورد
به صورت غیر حساس) SHA1 (پیشفرض)، SHA256 یا SHA512.
-Totp-Timestep ثانیه
استفاده کنید ثانیه به عنوان اندازه فاصله هنگام محاسبه TOTP. باید بزرگتر از صفر باشد. در
پیش فرض است 30 ثانیه صورت گرفت.
دوربین های مداربسته
اگرچه ساعتهای همگام ضعیف را جبران میکند، اما ارزش آن را افزایش میدهد
ثانیه با افزایش طول عمر یک رمز عبور یکبار مصرف، سیستم را ضعیف می کند.
-vfs vfs_uri
استفاده کنید vfs_uri برای نادیده گرفتن VFS[33] دستورالعمل پیکربندی در حال اجرا است. این میتواند باشد
برای پیکربندی یا پیکربندی مجدد auth_token، auth_hotp_token، یا auth_totp_token به
روش ذخیره سازی حساب هایی را که بر اساس آنها عمل می شود مشخص کنید.
به غیر از پیام های خطا که با خطای استاندارد چاپ می شوند، تمام خروجی ها به پیغام می رود
خروجی استاندارد
به طور معمول، الف داکسوپشن برای انتخاب حوزه قضایی از طرف آن مشخص خواهد شد
حساب ها در حال مدیریت هستند
مثال ها
این مثالها فرض میکنند که نام حوزه قضایی مورد استفاده EXAMPLE و فدراسیون آن است
دامنه example.com است.
برای استفاده از این روش احراز هویت، الف DACS مدیر ممکن است مراحل زیر را انجام دهد
برای هر دستگاه OTP اختصاص داده شده به یک کاربر:
1. یک توکن پشتیبانی شده دریافت کنید، نحوه استفاده از آن برای احراز هویت را بررسی کنید و مقادیر را انتخاب کنید
برای پارامترهای مختلف کلید مخفی دستگاه را از فروشنده دریافت کنید. برای
یک دستگاه قابل برنامه ریزی، یک کلید تصادفی مناسب را انتخاب کنید و آن را در دستگاه برنامه ریزی کنید.
مقادیر شمارنده فعلی نیز ممکن است از فروشنده به دست آید، اگرچه اینطور است
به احتمال زیاد به صفر مقداردهی اولیه می شود. برای یک دستگاه قابل برنامه ریزی، مقدار شمارنده را روی آن تنظیم کنید
صفر تصمیم بگیرید که آیا یک پین مورد نیاز است یا خیر (نگاه کنید به TOKEN_REQUIRES_PIN[9]). اگر یک نرم افزار
مشتری در حال استفاده است، نرم افزار را روی دستگاه کاربر نصب کنید (یا از کاربر بخواهید این کار را انجام دهد
بنابراین)، و نرم افزار را پیکربندی کنید.
2. تصمیم بگیرید که اطلاعات حساب در کجا ذخیره شود و در صورت لزوم، یک مورد مناسب اضافه کنید
VFS[33] دستورالعمل به dacs.conf. پیش فرض (که در site.conf یافت می شود) حساب را حفظ می کند
اطلاعات موجود در فایلی به نام auth_tokens در قسمت خصوصی پیش فرض هر حوزه قضایی
حوزه:
VFS "[auth_token]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_tokens"
3. کلیدهایی برای رمزگذاری اطلاعات حساب ایجاد کنید (نگاه کنید به نشانه و راز کلید[34]) و
تصمیم بگیرید که کجا ذخیره شوند. به عنوان مثال (شناسه کاربری، شناسه گروه، مسیر،
نام حوزه قضایی و دامنه فدراسیون ممکن است متفاوت باشد):
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
در صورت لزوم، یک مناسب اضافه کنید VFS[33] دستورالعمل به dacs.conf; پیش فرض، که است
استفاده شده در بالا، اطلاعات حساب را در فایلی به نام auth_token_keys در داخل نگهداری می کند
منطقه خصوصی پیش فرض هر حوزه قضایی:
VFS "[auth_token_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys"
4. اگر نیاز دارید که کاربران از طریق وارد شوند dacs_authenticate(8)[2]، باید a را پیکربندی کنید
عبارت Auth مناسب در dacs.conf، به عنوان مثال:
URL "token"
سبک "گذر"
کنترل "کافی"
5. راه های مختلفی وجود دارد که یک مدیر بسته به میزان آن ممکن است ادامه دهد
این تلاش می تواند توسط کاربران انجام شود (به عنوان مثال، آیا می توان به آنها اعتماد کرد، فنی آنها
توانایی)، تعداد کاربران (چند یا هزاران نفر) و سطح امنیت
مورد نیاز است.
1. یک فایل حاوی یک XML رکورد[35] برای هر حسابی که باید ایجاد شود. اگر
قرار است از پین استفاده شود، به هر حساب یک پین تصادفی اختصاص دهید.
2. از -وارد كردن[36] برای ایجاد حسابها پرچمگذاری کنید.
3. دستگاه رمز، نام کاربری و (در صورت لزوم) پین اولیه را به کاربر بدهید
(شاید تایید هویت)، ارائه هرگونه تظاهرات لازم و
دستورالعمل ها؛
4. از کاربر بخواهید که پین حساب را تنظیم یا بازنشانی کند و از کاربر بخواهید وارد سیستم شود
با استفاده از نشانه برای تأیید عملکرد صحیح.
برای ایجاد یک حساب غیرفعال برای کاربر bobo برای یک دستگاه HOTP:
% dacstoken -uj EXAMPLE -mode hotp -serial 37000752 -key-file bobo.key -create bobo
کلید مخفی حساب (که قبلاً نباید وجود داشته باشد) از فایل خوانده می شود
bobo.key. حساب های جدید به طور پیش فرض غیرفعال هستند. استفاده کنید -قابل امکان برای ایجاد یک حساب فعال
پس از ایجاد یک حساب کاربری، می توان آن را با توکن همگام کرد. برای همگام سازی
توکن HOTP برای کاربر bobo:
% dacstoken -uj EXAMPLE -sync 433268,894121,615120 bobo
در این مثال، توکن خاص سه رمز عبور متوالی 433268 را تولید کرد.
894121 و 615120. توجه داشته باشید که رشته رمز عبور دنباله از -sync پرچم است
یک آرگومان واحد که نمی تواند هیچ فضای تعبیه شده ای داشته باشد. اگر کلید این توکن است
19c0a3519a89b4a8034c5b9306db، رمز عبور بعدی ایجاد شده توسط این توکن باید 544323 باشد.
(با مقدار شمارشگر 13). این را می توان با استفاده از تأیید کرد هاتپ-نمایش:
% dacstoken -hotp-show 5 -counter 10 -key 19c0a3519a89b4a8034c5b9306db
000000000000000a: 433268،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX،XNUMX
000000000000000b: 894121
000000000000000c: 615120
000000000000000d: 544323
000000000000000e: 002442
برای فعال کردن حساب کاربری bobo:
% dacstoken -uj EXAMPLE -enable -set bobo
هم برای تنظیم پین و هم فعال کردن حساب کاربری bobo:
% dacstoken -uj EXAMPLE -enable -pin "CzAy" -set bobo
برای فهرست کردن همه حساب ها با جزئیات:
% dacstoken -uj EXAMPLE -long
La فهرست پرچم اضافی است زیرا عملیات پیش فرض است. در حالت, -پیشخوان، و غیره
اصلاح کننده ها هیچ تاثیری در هنگام فهرست بندی ندارند.
برای فهرست کردن فقط حساب bobo:
% dacstoken -uj EXAMPLE -list bobo
اگر این کاربر حساب کاربری نداشته باشد، وضعیت خروج غیر صفر خواهد بود.
برای نمایش حساب دستگاه با شماره سریال 37000752:
% dacstoken -uj EXAMPLE -serial 37000752
شماره سریال، که باید به طور منحصر به فرد یک نشانه را مشخص کند، اغلب بر روی توکن چاپ می شود
یا می تواند توسط نشانه نمایش داده شود.
برای تنظیم مقدار شمارنده برای حساب موجود bobo:
% dacstoken -uj مثال -counter 9 -set bobo
این عملیات ممکن است برای آزمایش یا با یک رمز نرم افزار استفاده شود. در -sync عملیات است
برای یک توکن سخت افزاری مناسب تر است.
برای تغییر پین نام کاربری bobo:
% dacstoken -uj مثال -pin-prompt -set bobo
برنامه پین جدید را درخواست می کند.
برای استفاده از یک فایل حساب جایگزین، /secure/auth_tokens:
% dacstoken -uj EXAMPLE -vfs "dacs-kwv-fs:/secure/auth_tokens" -list
برای استفاده از کلیدهای جدید (با همان فرضیات قبلی)، یک دستورالعمل VFS مناسب به آن اضافه کنید
dacs.conf; پیش فرض نوع آیتم auth_token_keys_prev را به صورت زیر تعریف می کند:
VFS "[auth_token_keys_prev]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_token_keys.prev"
% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% mv auth_token_keys auth_token_keys.prev
% dacskey -uj EXAMPLE -q auth_token_keys
% chgrp www auth_token_keys
% chmod 0640 auth_token_keys
% dacstoken -uj EXAMPLE -inkeys auth_token_keys.prev -set
عیب یابی
در صورت بروز خطا، برنامه از 0 یا 1 خارج می شود.
با استفاده از خدمات onworks.net از dacstoken آنلاین استفاده کنید
