dacsgrid - Online di Cloud

PROGRAM:

NAMA

dacsgrid - mengelola kata sandi satu kali berbasis grid

RINGKASAN

dacsgrid [pilihan[1]] [-tantangan] [-clean num] [-salinan vfs_uri]
[-des token] [-menghapus] [-cacat] [-memungkinkan] [-enc menantang] [-kedaluwarsa]
[-datar] [-mendapatkan] [-kisi str] [-h | -bantu] [-html] [-htmlcss]
[-inkey tipe barang] [-seumur hidup hari-hari] [-daftar] [-panjang] [-ncol num]
[-sekarang num] [-kunci keluar tipe barang] [-Pin [num]] [-menyegarkan] [-rd] [-benih str]
[-serial] [-mengatur] [-ukuran] [-uji] [-teks] [-mengesahkan menantang tanggapan]
[-vfs vfs_uri]

DESKRIPSI

Program ini merupakan bagian dari DACS pada.

Grafik dacsgrid utilitas menyediakan kata sandi satu kali berbasis perangkat lunak untuk DACS pembuktian keaslian
menggunakan arsitektur tantangan-respons. Ini mengelola akun yang digunakan oleh
local_grid_authenticate[2] modul otentikasi. Akun ini benar-benar terpisah
dari akun yang digunakan oleh local_passwd_authenticate[3] atau lainnya DACS pembuktian keaslian
modul.

dacsgrid menghasilkan kotak sel persegi panjang. Setiap sel terdiri dari huruf, diikuti
dengan angka, diikuti dengan huruf, menghasilkan 6,760 (26*10*26) kemungkinan panjang tiga karakter
string. Isi setiap sel dihasilkan dari yang kuat secara kriptografis
byte pseudo-acak. Ukuran kisi maksimum adalah 99 baris kali 26 kolom, dan kisi minimum
ukurannya 3 kali 3. Kolom diberi label A sampai Z dan baris diberi label 1 sampai
99. Untuk ukuran kisi yang direkomendasikan, kemungkinan besar setiap kisi yang dihasilkan adalah
unik dan oleh karena itu setiap pengguna akan diberi kisi yang berbeda.

Berikut adalah kisi 10x10 (ukuran default):

ABCDEFGHIJ
1x7m p7m k4c q9s q2k d9l s5m r8c y3v g2m
2 o0c t6h q7k l3w p8a q3e b9c l0w z8y c8v
3 v8n n1w r6i i0g e9y q1n p0g g9v x4y c5u
4 z8a o9d l1e e8n u8z h3y p2s b9z c6w d5f
5x8y o2a y4g d9i s4p c9n c1e m5z o6j m0f
6 p2s x4c a2x p4f w7y b8k e6c q9g q5v s4z
7 b8k r4s r2p z5x v3e s0h h5l z6y e9o g6m
8 r5x m4r a1w f8c f5g l2z q7j r4m w0c x9a
9 p7s r3g i7c p8a t5x c4h h0k k9d i7k r9n
10 w4l v0a p9g i0l v2n b8h v9j s0y r3k v0m

Serial: 2497a62a83ad4bc4
Dibuat: Sen 14 Agustus 10:25:03 2006 PDT

Sebuah sel diidentifikasi dengan label kolomnya (huruf) diikuti oleh label barisnya (angka);
misalnya, dalam contoh di atas, sel F6 memiliki nilai b8k.

Setiap kisi diberi string identifikasi acak (dan mungkin unik) (berlabel
"Serial" pada contoh di atas); string ini disimpan di server dengan grid lain
data akun. Itu dapat ditampilkan oleh yurisdiksi pada waktu login sebagai cara
mengautentikasi dirinya kepada pengguna, asalkan dirahasiakan (satu pendekatan mungkin:
untuk masing-masing pihak untuk memasok bagian yang berbeda dari string identifikasi ke
lainnya).

Pada waktu otentikasi, pengguna disajikan dengan tantangan yang dibuat secara acak yaitu
sesuai untuk grid pengguna. Tantangan ditampilkan kepada pengguna; misalnya, "A3, C9,
B1, F9". Nomor seri kisi, atau sebagian darinya, mungkin juga ditampilkan. Pengguna
harus berkonsultasi dengan kisi-kisinya untuk menemukan masing-masing sel untuk tantangan yang diberikan dan memasukkan
isinya sebagai password. Huruf tidak peka huruf besar/kecil, kosong, tab, dan koma adalah
diabaikan. Untuk kisi dan tantangan di atas, pengguna akan memasukkan karakter berikut:
sebagai kata sandi:

v8ni7cp7mc4h

Perhatikan bahwa tantangan mungkin meminta sel yang sama lebih dari sekali.

Tantangan berlaku untuk jangka waktu yang dapat dikonfigurasi dan setelah itu tidak bisa lagi
digunakan untuk otentikasi; Lihat AUTH_GRID_CHALLENGE_SECS[4].

Untuk menilai berapa lama tantangan seharusnya, asumsikan bahwa kata sandi yang dipilih pengguna dipilih
secara acak dan seragam dari sekitar 100 karakter yang tersedia pada keyboard. Ini adalah
asumsi yang sangat murah hati yang jarang diwujudkan dalam praktik. Tantangan grid empat
sel jauh lebih kuat daripada kata sandi enam karakter yang dipilih pengguna (69604 vs. 1006)
dan tantangan grid lima sel jauh lebih kuat daripada kata sandi sembilan yang dipilih pengguna
karakter (69605 vs 1009). Namun, jika dibandingkan dengan kata sandi pengguna biasa, kisi-kisi
tantangan tiga sel mungkin sekuat kata sandi yang dipilih pengguna tujuh atau
delapan karakter.

Grid diakses melalui DACS penyimpanan file virtual menggunakan tipe item auth_grid. Dia
diasumsikan bahwa izin file pada database grid sedemikian rupa sehingga semua akses dibatasi
kepada administrator dan local_grid_authenticate.

Setelah periode run-time yang dapat dikonfigurasi, grid kedaluwarsa dan tidak akan diterima untuk
tujuan otentikasi oleh local_grid_authenticate (Lihat AUTH_GRID_LIFETIME_SECS[5]) atau
dacsgrid (Lihat -seumur hidup). Masa berlaku grid mungkin didasarkan pada beberapa faktor,
seperti seberapa sering digunakan di yurisdiksi, jumlah sel di grid,
tingkat keamanan yang diperlukan, atau seberapa sulit atau mahal untuk mendistribusikan jaringan ke
penggunanya.

Pada saat grid dibuat, dacsgrid dapat mengaitkan PIN yang dipilih secara acak dengannya. A
PIN, yang berfungsi sebagai kata sandi sekunder, terdiri dari urutan huruf-digit-huruf
sel. Panjang PIN default dua sel (6 karakter) dapat diganti dengan perintah
garis. Jika pengguna telah diberikan PIN, PIN harus dimasukkan di awal
tanggapan pengguna terhadap tantangan, tepat sebelum isi sel pertama dari
tantangan dimasukkan.

Security
Bila digunakan dengan benar, metode otentikasi ini bisa relatif aman. utama
tantangannya adalah bahwa grid dan PIN harus didistribusikan ke pengguna melalui a
metode yang cukup aman; misalnya, dengan mencetaknya dan mengirimkan hardcopy langsung ke
pengguna, atau dengan menggunakan saluran aman yang ada. Setiap pengguna harus memahami bahwa grid
pada dasarnya adalah daftar kata sandi dan, karenanya, harus dirahasiakan selama
masa berlaku. Ketika PIN digunakan, PIN harus didistribusikan menggunakan saluran yang aman
berbeda dari yang digunakan untuk mendistribusikan grid. Tinggal bagaimana pembagian ini dilakukan
ke DACS administrator.

Informasi dienkripsi sebelum ditulis ke file akun grid. Secara default,
jenis item penyimpanan file virtual auth_grid_keys mengidentifikasi kunci enkripsi yang akan digunakan;
itu -inkey dan -kunci keluar flag menentukan alternatif (lihat dackey(1)[6]). Mengajukan
izin harus diatur sehingga kunci enkripsi hanya dapat dibaca oleh dacsgrid. Jika
kunci enkripsi hilang, entri akun praktis tidak dapat dipulihkan.

Hanya DACS administrator harus berhasil menjalankan program ini dari
garis komando. Karena DACS kunci dan file konfigurasi, termasuk file yang digunakan untuk
akun toko, harus dibatasi untuk administrator, ini biasanya akan menjadi
kasus, tetapi administrator yang cermat akan mengatur izin file untuk menolak akses ke semua
pengguna lain.

Metode otentikasi ini memiliki keuntungan sebagai berikut:

· Setiap kali pengguna mengautentikasi, kata sandi yang berbeda akan diminta (dengan tinggi
kemungkinan)

· Kata sandi yang diperlukan tidak diketahui sebelum otentikasi, sehingga pengguna tidak dapat
beri tahu orang lain apa kata sandinya selain dengan membagikan seluruh kisi (dan
PIN, jika ada)

· Karena kata sandi tidak mungkin berupa kata atau frasa yang mudah ditebak, itu seharusnya
lebih kuat dari kata sandi yang dipilih pengguna

· Jika sniffer kunci diinstal pada komputer pengguna, kata sandi yang diendus tidak
lakukan penyerang dengan baik, karena sangat tidak mungkin untuk digunakan kembali. jika
tantangan yang sesuai juga dapat diperoleh oleh penyerang, seperti melalui a
serangan phishing, sebagian dari grid akan terungkap

· Panjang tantangan (yang menentukan panjang kata sandi) adalah
dikonfigurasi oleh administrator dan dapat diubah sesuka hati

· Kisi pengguna dapat dengan mudah diubah oleh administrator sesering mungkin

· Metode ini lebih murah daripada kata sandi satu kali berbasis perangkat keras, asalkan distribusi
biaya rendah

Metode otentikasi ini memiliki potensi kerugian sebagai berikut:

· Metode otentikasi secara inheren interaktif karena kata sandinya tidak diketahui
a priori, meskipun ini tidak menjamin bahwa pengguna hadir secara fisik

· Saluran aman diperlukan untuk mendistribusikan kisi dan PIN

· Kotak otentikasi dapat dengan mudah disalin dan paling baik digunakan bersama dengan
PIN atau setidaknya satu metode otentikasi lainnya; tantangan menjaga grid
rahasia dalam segala situasi adalah alasan utama mengapa metode ini tidak sekuat
metode berbasis token perangkat keras, yang lebih sulit untuk disalin dan dapat dilindungi oleh
sebuah PIN. Metode ini paling baik digunakan dalam situasi di mana grid tidak mungkin
dicuri, mudah disalin, atau bahkan dikenali, seperti untuk akses jarak jauh.

Metode autentikasi ini berada di antara bentuk "sesuatu yang Anda ketahui" dan
bentuk "sesuatu yang Anda miliki". Seseorang mungkin bisa menghafal kotak yang lebih kecil, memasukkannya ke dalam
kategori sebelumnya, tetapi hanya sedikit yang mampu menghafal kotak besar, yang membuatnya
diperlukan untuk memiliki salinan dalam kepemilikan seseorang. Menggunakan PIN memberikan sesuatu yang lebih dekat dengan
otentikasi dua faktor dan memperkuat metode karena kisi yang ditangkap tidak secara langsung
dapat digunakan.

Note
Dimungkinkan bagi pengguna yang berbeda untuk diberi kisi dengan ukuran berbeda. Untuk mencegah
generasi tantangan yang tidak mungkin dipenuhi, ketika tantangannya adalah
diminta baik grid yang sesuai harus dari ukuran default, dimensi
kisi harus ditentukan, atau nama pengguna harus ditentukan.

PILIHAN

Selain standar pilihan[1], flag baris perintah berikut adalah
dikenali:

-tantangan
Pancarkan tantangan acak. Jika nama pengguna ditentukan, tantangan yang sesuai ukuran akan
dihasilkan; jika tidak, jika dimensi kisi telah ditentukan, tantangan yang sesuai
akan diproduksi; jika tidak, dimensi grid default akan digunakan saat memproduksi a
tantangan.

-clean num
Setel panjang tantangan ke num sel. Panjang minimum adalah 3 sel dan default
panjangnya 4 sel.

-salinan vfs_uri
Salin kisi-kisi input ke kisi-kisi yang ditentukan oleh vfs_uri, menghapus yang ada
isi.

-des token
Dekripsi token tantangan yang dihasilkan oleh -enc pilihan dan mencetaknya.

-menghapus
Hapus akun untuk nama pengguna.

-cacat
Nonaktifkan login untuk nama pengguna. menyiratkan -mengatur.

-memungkinkan
Aktifkan login untuk nama pengguna. menyiratkan -mengatur.

-enc menantang
Enkripsi tantangan (biasanya, diproduksi oleh -tantangan pilihan) dan mencetaknya. NS
jenis item federation_keys digunakan untuk tujuan ini, yang berarti bahwa yurisdiksi mana pun
di federasi dapat mendekripsi tantangan.

-kedaluwarsa
Cantumkan hanya kisi yang kedaluwarsa, relatif terhadap masa pakai kisi yang berlaku. menyiratkan -daftar.

-datar
Cetak kisi dalam representasi tekstual ringkas yang terdiri dari tiga
bidang yang dipisahkan koma: nomor seri, bendera yang diaktifkan/dinonaktifkan (artinya bukan nol
diaktifkan), kisi (sebagai urutan baris yang dipisahkan spasi), PIN (atau nol jika
tidak ada PIN), dan tanggal pembuatan (sebagai jumlah detik sejak zaman).

-mendapatkan
Ambil kisi untuk nama pengguna dan menjadikannya kisi "saat ini" untuk tujuan tampilan.

-kisi str
Membuat str, kisi dalam representasi yang diratakan, kisi "saat ini" untuk tampilan
tujuan atau -mengatur bendera.

-h
-bantu
Tampilkan pesan bantuan dan keluar.

-html
Memancarkan kisi sebagai fragmen dokumen HTML.

-htmlcss
Keluarkan kisi sebagai fragmen dokumen HTML dengan beberapa CSS.

-inkey tipe barang
Untuk mendekripsi informasi akun, gunakan toko yang diidentifikasi oleh tipe barang.

-seumur hidup hari-hari
Pertimbangkan masa pakai grid menjadi hari-hari hari. Grid tidak memiliki masa pakai yang tetap;
hanya tanggal pembuatannya yang dicatat. Masa pakai default adalah 7 hari.

-daftar
Daftar nama pengguna, jika diberikan, jika tidak, semua nama pengguna.

-panjang
Menghasilkan output daftar yang lebih rinci. menyiratkan -daftar.

-ncol num
Atur jumlah kolom kisi menjadi num, yaitu antara 3 dan 26. Ini digunakan ketika
menghasilkan grid dan tantangan.

-sekarang num
Setel jumlah baris kisi ke num, yaitu antara 3 dan 99. Ini digunakan ketika
menghasilkan grid dan tantangan.

-kunci keluar tipe barang
Untuk mengenkripsi informasi akun, gunakan toko yang diidentifikasi oleh tipe barang.

-Pin[num]
Jika tidak ada operasi lain yang ditentukan, cetak PIN, jika ada, untuk nama pengguna. Dengan -mengatur
tandai, buat PIN baru untuk nama pengguna. Jika bilangan bulat non-negatif ditambahkan ke
bendera (misalnya, -pin0, -pin4), panjang PIN (dalam unit sel) diatur ke nomor tersebut dengan
sehubungan dengan pembuatan PIN. Panjang PIN default adalah 2 sel. Mengatur panjang PIN
ke nol mematikan pembuatan PIN.

-menyegarkan
Jika nama pengguna diberikan, buat kisi baru untuk pengguna itu. Jika tidak nama pengguna diberikan,
menghasilkan grid baru untuk setiap pengguna yang sudah memiliki grid. Setiap jaringan yang ada
segera menjadi tidak valid. Semua grid ini akan memiliki dimensi yang sama. jika
-kisi bendera diberikan, itu diabaikan. Secara default, PIN yang ada akan dipertahankan. yang lama
status diaktifkan/dinonaktifkan grid dipertahankan. jika -Pin bendera diberikan, PIN baru akan
dihasilkan; jika -pin0 diberikan, namun, kisi baru tidak akan memiliki PIN.

-rd
Dicadangkan untuk penggunaan di masa mendatang.

-benih str
Dicadangkan untuk penggunaan di masa mendatang.

-serial
Cetak nomor seri grid saat ini.

-mengatur
Setel atau ganti kisi untuk nama pengguna.

-ukuran
Tampilkan dimensi kisi dalam hal bendera baris perintah -ncol dan -sekarang.
menyiratkan -daftar.

-uji
Pancarkan kisi dan tantangan, perintah dari respons, dan verifikasi respons.

-teks
Pancarkan kisi-kisi yang dicetak cantik.

-mengesahkan menantang tanggapan
Mengesahkan tanggapan terhadap menantang.

-vfs vfs_uri
Alih-alih menggunakan jenis item auth_grid untuk menentukan kisi mana yang akan ditindaklanjuti, gunakan vfs_uri
(Lihat VFS[7] arahan konfigurasi).

Tindakan default adalah menampilkan kisi saat ini. Terlepas dari pesan kesalahan, yaitu
dicetak ke kesalahan standar, semua output masuk ke output standar.

Biasanya, pilihan akan ditentukan untuk memilih yurisdiksi atas nama yang
grid sedang dibuat.

CONTOH

Contoh-contoh ini mengasumsikan bahwa nama yurisdiksi yang akan digunakan adalah EXAMPLE dan domainnya adalah
contoh.com.

Untuk menggunakan metode otentikasi ini, a DACS administrator akan melakukan langkah-langkah berikut:

· Setelah meninjau cara metode beroperasi, putuskan bagaimana grid akan aman
didistribusikan ke pengguna, pilih parameter grid, putuskan apakah PIN akan digunakan dan
bagaimana mereka akan didistribusikan dengan aman, dan menentukan jadwal untuk menyegarkan grid
(dan mungkin PIN).

· Putuskan dimana grid akan disimpan dan tambahkan directive VFS yang sesuai ke dacs.conf,
misalnya:

VFS "[auth_grid]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/grid"

· Buat kunci, putuskan di mana mereka akan disimpan, dan tambahkan direktif VFS yang sesuai ke
dacs.conf, misalnya (ID pengguna, ID grup, dan jalur Anda mungkin berbeda):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj CONTOH -q auth_grid_keys
% chgrp www auth_grid_keys
% chmod 0640 auth_grid_keys

VFS "[auth_grid_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_grid_keys"

· Konfigurasikan klausa Auth yang sesuai di dacs.conf, misalnya:


URL "https://example.com/cgi-bin/dacs/local_grid_authenticate"
GAYA "lulus"
KONTROL "cukup"


· Untuk setiap pengguna yang akan mampu mengautentikasi menggunakan metode ini: a) menghasilkan a
kisi dengan dimensi yang diperlukan, dengan atau tanpa PIN (sesuai kebutuhan); b) memperoleh
kisi dalam format yang paling sesuai dan berikan kepada pemiliknya; dan c) jika ada PIN,
mendapatkan PIN dan memberikannya kepada pemiliknya.

· Segarkan kisi (dan, opsional, PIN) sesuai jadwal dan beri pengguna
jaringan pengganti.

Untuk membuat dan menampilkan kisi (tetapi tidak membuat akun):

% dacsgrid -uj CONTOH

Untuk menghasilkan kisi dimensi default dan menetapkannya ke nama pengguna bobo (menggantikan apa pun
kisi yang ada untuk pengguna itu):

% dacsgrid -uj CONTOH -set bobo

Untuk membuat kisi 6x6 dan menetapkannya ke nama pengguna bobo (mengganti kisi yang ada):

% dacsgrid -uj CONTOH -nrows 6 -ncols 6 -set bobo

Untuk mengambil dan mencetak kisi (sebagai HTML) untuk nama pengguna bobo:

% dacsgrid -uj CONTOH -get -html bobo

Untuk menampilkan PIN untuk nama pengguna bobo:

% dacsgrid -uj CONTOH -pin bobo

Status keluar akan menjadi bukan nol jika pengguna ini tidak memiliki kisi atau jika kisi tidak
memiliki PIN.

Untuk menyalin kumpulan kisi saat ini ke file /secure/grids:

% dacsgrid -uj CONTOH -salin "dacs-kwv-fs:/secure/grids"

Untuk menyegarkan kumpulan kisi alternatif di file /secure/grids:

% dacsgrid -uj CONTOH -salin "dacs-kwv-fs:/secure/grids"
% dacsgrid -uj CONTOH -vfs "dacs-kwv-fs:/secure/grids" -refresh

Contoh skrip shell yang menghasilkan halaman login HTML minimal untuk otentikasi grid
termasuk dalam distribusi. Diasumsikan bahwa semua grid adalah ukuran default.

Jika pengguna yang berbeda mungkin memiliki kisi dengan ukuran berbeda, atau jika yurisdiksi ingin
menampilkan nomor seri kisi pengguna sebagai bentuk otentikasi yurisdiksi, lalu
prosedur login harus menentukan nama pengguna sebelum dapat memperoleh tantangan atau serial
nomor.

Gunakan dacsgrid online menggunakan layanan onworks.net