dacsgrid - Online in de cloud

PROGRAMMA:

NAAM

dacsgrid - beheer op raster gebaseerde eenmalige wachtwoorden

KORTE INHOUD

dacsgrid [dac-opties[1]] [-uitdaging] [-clen num] [-kopiëren vfs_uri]
[- dec teken] [-delete] [-uitzetten] [-inschakelen] [-enz uitdagen] [-verlopen]
[-vlak] [-krijgen] [-rooster str] [-h | -Help] [-html] [-htmlcss]
[-intoetsen type voorwerp] [-levenslang dagen] [-lijst] [-lange] [-ncols num]
[-nummers num] [-buitensleutels type voorwerp] [-Pin [num,-verversen] [-nd] [-zaad str]
[Serial] [-set] [-grootte] [-test] [-tekst] [-valideren uitdagen antwoord]
[-vfs vfs_uri]

PRODUCTBESCHRIJVING

Dit programma maakt deel uit van het DACS op.

De dacsgrid hulpprogramma biedt op software gebaseerde eenmalige wachtwoorden voor DACS authenticatie
met behulp van een challenge-response-architectuur. Het beheert accounts die worden gebruikt door de
local_grid_authenticate[2] authenticatiemodule. Deze rekeningen zijn volledig gescheiden
van de rekeningen gebruikt door local_passwd_authenticate[3] of een andere DACS authenticatie
module.

dacsgrid genereert een rechthoekig raster van cellen. Elke cel bestaat uit een letter, gevolgd
door een cijfer, gevolgd door een letter, resulterend in 6,760 (26*10*26) mogelijke lengte van drie tekens
snaren. De inhoud van elke cel wordt gegenereerd vanuit cryptografisch sterk
pseudo-willekeurige bytes. De maximale rastergrootte is 99 rijen bij 26 kolommen en het minimale raster
grootte is 3 bij 3. De kolommen zijn gelabeld van A tot en met Z en de rijen zijn gelabeld van 1 tot en met
99. Voor aanbevolen rastermaten is het zeer waarschijnlijk dat elk gegenereerd raster dat is
uniek en dus dat elke gebruiker een ander rooster krijgt toegewezen.

Hier is een raster van 10x10 (de standaardgrootte):

ABCDEFGHIJ
1x7m p7m k4c q9s q2k d9l s5m r8c y3v g2m
2 o0c t6h q7k l3w p8a q3e b9c l0w z8y c8v
3 v8n n1w r6i i0g e9y q1n p0g g9v x4y c5u
4 z8a o9d l1e e8n u8z h3y p2s b9z c6w d5f
5 x8y o2a y4g d9i s4p c9n c1e m5z o6j m0f
6 p2s x4c a2x p4f w7y b8k e6c q9g q5v s4z
7 b8k r4s r2p z5x v3e s0h h5l z6y e9o g6m
8 r5x m4r a1w f8c f5g l2z q7j r4m w0c x9a
9 p7s r3g i7c p8a t5x c4h h0k k9d i7k r9n
10 w4l v0a p9g i0l v2n b8h v9j s0y r3k v0m

Serial: 2497a62a83ad4bc4
Gemaakt: ma 14 augustus 10:25:03 2006 PDT

Een cel wordt geïdentificeerd door het kolomlabel (een letter) gevolgd door het rijlabel (een cijfer);
in het bovenstaande voorbeeld heeft cel F6 bijvoorbeeld de waarde b8k.

Elk raster krijgt een willekeurige (en vermoedelijk unieke) identificatiereeks toegewezen (gelabeld
"Serieel" in bovenstaand voorbeeld); deze string wordt opgeslagen op de server met een ander rooster
account gegevens. Het kan door een rechtsgebied worden weergegeven tijdens het inloggen als een manier van
zichzelf authenticeren bij een gebruiker, op voorwaarde dat het vertrouwelijk wordt gehouden (een benadering zou kunnen zijn
voor elk van de partijen om een ​​andere helft van de identificatiereeks aan de
ander).

Op het moment van authenticatie krijgt de gebruiker een willekeurig gegenereerde uitdaging te zien
geschikt is voor het gebruikersnet. De uitdaging wordt aan de gebruiker getoond; bijv. "A3, C9,
B1, F9". Het serienummer van het rooster, of een deel ervan, kan ook worden weergegeven. De gebruiker
moet zijn rooster raadplegen om elk van de cellen voor de gegeven uitdaging te lokaliseren en hun in te voeren
inhoud als het wachtwoord. Letters zijn niet hoofdlettergevoelig, spaties, tabs en komma's wel
buiten beschouwing gelaten. Voor het bovenstaande raster en de uitdaging voert de gebruiker de volgende tekens in
als wachtwoord:

v8ni7cp7mc4h

Merk op dat een uitdaging meerdere keren om dezelfde cel kan vragen.

Een uitdaging is geldig voor een instelbare tijdsduur waarna het niet meer geldig kan zijn
gebruikt voor authenticatie; zien AUTH_GRID_CHALLENGE_SECS[4].

Om te beoordelen hoe lang een uitdaging zou moeten zijn, gaan we ervan uit dat door de gebruiker geselecteerde wachtwoorden zijn gekozen
willekeurig en uniform uit ongeveer 100 beschikbare tekens op een toetsenbord. Dit is
een zeer genereuze aanname die in de praktijk zelden wordt gerealiseerd. Een rasteruitdaging van vier
cellen is veel sterker dan een door de gebruiker geselecteerd wachtwoord van zes tekens (69604 vs. 1006)
en een rasteruitdaging van vijf cellen is veel sterker dan een door de gebruiker geselecteerd wachtwoord van negen
karakters (69605 versus 1009). In vergelijking met typische gebruikerswachtwoorden echter een raster
uitdaging van drie cellen is waarschijnlijk ongeveer net zo sterk als een door de gebruiker gekozen wachtwoord van zeven of
acht karakters.

Rasters zijn toegankelijk via DACS'en virtuele bestandsopslag met itemtype auth_grid. Het is
aangenomen dat bestandspermissies op de database van rasters zodanig zijn dat alle toegang beperkt is
aan de beheerder en local_grid_authenticate.

Na een configureerbare looptijd vervalt een net en wordt niet meer geaccepteerd
authenticatiedoeleinden door local_grid_authenticate (Zie AUTH_GRID_LIFETIME_SECS[5]) of
dacsgrid (Zie -levenslang). De geldigheidsduur van een rooster kan op verschillende factoren zijn gebaseerd,
zoals hoe vaak het wordt gebruikt in een rechtsgebied, het aantal cellen in het raster, de
vereiste beveiligingsniveau, of hoe moeilijk of duur het is om een ​​net te distribueren
zijn gebruiker.

Op het moment dat een raster wordt gegenereerd, dacsgrid kan er een willekeurig gekozen pincode aan koppelen. A
PIN, die fungeert als een secundair wachtwoord, bestaat uit een reeks letter-cijfer-letter
cellen. De standaard PIN-lengte van twee cellen (6 tekens) kan met de opdracht worden overschreven
lijn. Als een gebruiker een pincode heeft gekregen, moet deze worden ingevoerd aan het begin van de
reactie van de gebruiker op de uitdaging, direct voor de inhoud van de eerste cel van de
uitdaging zijn ingevoerd.

Security
Bij correct gebruik kan deze authenticatiemethode relatief veilig zijn. De belangrijkste
uitdaging is dat het essentieel is dat roosters en pincodes worden verspreid onder gebruikers via een
voldoende veilige methode; bijvoorbeeld door ze af te drukken en rechtstreeks een hardcopy te sturen naar
de gebruiker, of door gebruik te maken van bestaande beveiligde kanalen. Elke gebruiker moet begrijpen dat een raster
is in wezen een lijst met wachtwoorden en moet daarom geheim worden gehouden tijdens het gebruik ervan
geldigheidsduur. Wanneer pincodes worden gebruikt, moeten deze via een beveiligd kanaal worden verspreid
anders dan degene die wordt gebruikt om roosters te verdelen. Hoe deze verdeling wordt gedaan, wordt overgelaten
aan de DACS beheerder.

Informatie wordt versleuteld voordat ze naar het netwerkaccountbestand wordt geschreven. Standaard,
het virtuele bestandsarchiefitemtype auth_grid_keys identificeert de coderingssleutels die moeten worden gebruikt;
de -intoetsen en -buitensleutels vlaggen specificeren alternatieven (zie dacskey(1)[6]). Bestand
machtigingen moeten zo worden ingesteld dat de coderingssleutels alleen leesbaar zijn voor dacsgrid. Indien
de coderingssleutels zijn verloren, de accountgegevens zijn praktisch onherstelbaar.

Alleen de DACS beheerder zou dit programma met succes moeten kunnen uitvoeren vanaf de
opdrachtregel. Omdat DACS sleutels en configuratiebestanden, inclusief het bestand dat wordt gebruikt om
store-accounts, moet worden beperkt tot de beheerder, dit is normaal gesproken de
geval, maar een zorgvuldige beheerder zal bestandspermissies instellen om toegang tot iedereen te weigeren
andere gebruikers.

Deze authenticatiemethode heeft de volgende voordelen:

· Elke keer dat een gebruiker zich authenticeert, wordt er om een ​​ander wachtwoord gevraagd (met high
waarschijnlijkheid)

· Het wachtwoord dat vereist is, is niet bekend voorafgaand aan authenticatie, dus een gebruiker kan dat niet
iemand anders vertellen wat zijn wachtwoord is anders dan door het hele rooster (en het
pincode, indien van toepassing)

· Omdat het wachtwoord waarschijnlijk geen gemakkelijk te raden woord of zin is, zou het dat wel moeten zijn
sterker dan een door de gebruiker geselecteerd wachtwoord

· Als er een sleutelzoeker op de computer van de gebruiker is geïnstalleerd, is dat bij een gesnoven wachtwoord niet het geval
doen een aanvaller goed, aangezien het zeer onwaarschijnlijk is dat het opnieuw wordt gebruikt. Als de
overeenkomstige uitdaging kan ook worden verkregen door een aanvaller, zoals via een
phishing-aanval, wordt een deel van het raster onthuld

· De lengte van de challenge (die bepaalt de lengte van het wachtwoord) is
configureerbaar door de beheerder en kan naar believen worden gewijzigd

· Het raster van een gebruiker kan zo vaak als praktisch mogelijk eenvoudig door een beheerder worden gewijzigd

· De methode is goedkoper dan op hardware gebaseerde eenmalige wachtwoorden, mits distributie
kosten zijn laag

Deze authenticatiemethode heeft de volgende mogelijke nadelen:

· De authenticatiemethode is inherent interactief omdat het wachtwoord niet bekend is
a priori, hoewel dit niet garandeert dat de gebruiker fysiek aanwezig is

· Er zijn beveiligde kanalen nodig om roosters en pincodes te verspreiden

· Een authenticatieraster kan eenvoudig worden gekopieerd en kan daarom het beste worden gebruikt in combinatie met
Pincodes of ten minste één andere authenticatiemethode; de uitdaging om roosters te behouden
geheim in alle situaties is de belangrijkste reden waarom de methode niet zo sterk is als
op hardware tokens gebaseerde methoden, die moeilijker te kopiëren zijn en waarmee ze kunnen worden beschermd
een pincode. De methode kan het beste worden gebruikt in situaties waarin een raster waarschijnlijk niet aanwezig is
gestolen, gemakkelijk gekopieerd of zelfs herkend, bijvoorbeeld voor toegang op afstand.

Deze authenticatiemethode valt ergens tussen de vorm "iets dat je weet" en de
vorm "iets dat je hebt". Men zou in staat kunnen zijn om een ​​kleiner raster te onthouden en het erin te plaatsen
de eerste categorie, maar weinigen zijn in staat een groot raster te onthouden, wat het maakt
nodig om een ​​exemplaar in bezit te hebben. Het gebruik van pincodes biedt iets dichterbij
tweefactorauthenticatie en versterkt de methode aangezien een vastgelegd raster niet direct is
bruikbaar.

Note
Het is mogelijk dat aan verschillende gebruikers roosters van verschillende groottes worden toegewezen. Voorkomen
het genereren van een uitdaging die onmogelijk te bevredigen is, wanneer de uitdaging dat wel is
gevraagd of het overeenkomstige rooster moet van de standaardgrootte zijn, de afmetingen van
het raster moet worden opgegeven of de gebruikersnaam moet worden opgegeven.

OPTIES

Naast de standaard dac-opties[1] zijn de volgende opdrachtregelvlaggen
erkend:

-uitdaging
Stuur een willekeurige uitdaging uit. Als gebruikersnaam werd gespecificeerd, zal een uitdaging die geschikt is voor de grootte
worden geproduceerd; anders, als rasterafmetingen zijn gespecificeerd, een geschikte uitdaging
zal worden geproduceerd; anders worden de standaard rasterafmetingen gebruikt bij het produceren van een
uitdaging.

-clen num
Stel de lengte van de uitdaging in op num cellen. De minimale lengte is 3 cellen en de standaard
lengte is 4 cellen.

-kopiëren vfs_uri
Kopieer de invoerrasters naar de rasters gespecificeerd door vfs_uri, bestaande verwijderen
inhoud.

- dec teken
Ontsleutel een uitdagingstoken geproduceerd door de -enz optie en druk het af.

-delete
Verwijder het account voor gebruikersnaam.

-uitzetten
Schakel logins uit voor gebruikersnaam. Impliceert -set.

-inschakelen
Aanmeldingen inschakelen voor gebruikersnaam. Impliceert -set.

-enz uitdagen
Versleutel een challenge (meestal geproduceerd door de -uitdaging optie) en druk het af. De
itemtype federation_keys wordt hiervoor gebruikt, wat betekent dat elke jurisdictie
in de federatie kan de uitdaging ontsleutelen.

-verlopen
Maak een lijst van alleen verlopen netten, in verhouding tot de geldende levensduur van het net. Impliceert -lijst.

-vlak
Druk een raster af in een beknopte tekstuele weergave die uit drie bestaat
door komma's gescheiden velden: het serienummer, ingeschakelde/uitgeschakelde vlag (niet-nul betekent
ingeschakeld), het raster (als een geordende reeks van door spaties gescheiden rijen), een pincode (of nul als
er is geen pincode), en de aanmaakdatum (als het aantal seconden sinds het tijdperk).

-krijgen
Haal het rooster op voor gebruikersnaam en maak het het "huidige" raster voor weergavedoeleinden.

-rooster str
Merk str, een raster in de afgeplatte weergave, het "huidige" raster voor weergave
doeleinden of de -set vlag.

-h
-Help
Geef een helpbericht weer en sluit af.

-html
Zend een raster uit als een fragment van een HTML-document.

-htmlcss
Zend een raster uit als een fragment van een HTML-document met wat CSS.

-intoetsen type voorwerp
Gebruik voor het decoderen van accountgegevens de winkel geïdentificeerd door type voorwerp.

-levenslang dagen
Overweeg de levensduur van roosters te zijn dagen dagen. Grids hebben geen vaste levensduur;
alleen hun aanmaakdatum wordt geregistreerd. De standaard levensduur is 7 dagen.

-lijst
Lijst gebruikersnaam, indien opgegeven, anders alle gebruikersnamen.

-lange
Produceer meer gedetailleerde lijstuitvoer. Impliceert -lijst.

-ncols num
Stel het aantal rasterkolommen in op num, wat tussen 3 en 26 ligt. Dit wordt gebruikt wanneer
rasters en uitdagingen genereren.

-nummers num
Stel het aantal rasterrijen in op num, wat tussen 3 en 99 ligt. Dit wordt gebruikt wanneer
rasters en uitdagingen genereren.

-buitensleutels type voorwerp
Gebruik voor het coderen van accountgegevens de winkel geïdentificeerd door type voorwerp.

-Pin[num]
Als er geen andere bewerking is opgegeven, drukt u de pincode af, indien van toepassing gebruikersnaam. Met de -set
vlag, genereer een nieuwe pincode voor gebruikersnaam. Als een niet-negatief geheel getal wordt toegevoegd aan de
vlag (bijv. -pin0, -pin4), wordt de PIN-lengte (in celeenheden) op dat nummer ingesteld met
met betrekking tot het genereren van pincodes. De standaard PIN-lengte is 2 cellen. De PIN-lengte instellen
naar nul schakelt het genereren van pincodes uit.

-verversen
Als een gebruikersnaam wordt gegeven, genereert u een nieuw raster voor die gebruiker. Als Nee gebruikersnaam is gegeven,
genereer een nieuw raster voor elke gebruiker die al een raster heeft. Elk bestaand rooster
wordt onmiddellijk ongeldig. Al deze roosters hebben dezelfde afmetingen. Als de
-rooster vlag wordt gegeven, wordt deze genegeerd. Standaard blijft elke bestaande pincode behouden. De oude
de ingeschakelde/uitgeschakelde status van het netwerk blijft behouden. Als de -Pin vlag wordt gegeven, zal een nieuwe pincode worden gegeven
worden gegenereerd; als -pin0 wordt gegeven, nieuwe roosters hebben echter geen pincode.

-nd
Gereserveerd voor toekomstig gebruik.

-zaad str
Gereserveerd voor toekomstig gebruik.

Serial
Druk het serienummer van het huidige net af.

-set
Stel of vervang het rooster voor gebruikersnaam.

-grootte
Geef de rasterafmetingen weer in termen van de opdrachtregelvlaggen -ncols en -nummers.
Impliceert -lijst.

-test
Zend een raster en een uitdaging uit, vraag om een ​​reactie en verifieer de reactie.

-tekst
Zend een mooi gedrukt raster uit.

-valideren uitdagen antwoord
Bevestigen antwoord tegen uitdagen.

-vfs vfs_uri
In plaats van het itemtype auth_grid te gebruiken om op te geven op welke rasters moet worden gereageerd, gebruikt u vfs_uri
(Zie de VFS[7] configuratierichtlijn).

De standaardactie is om het huidige raster weer te geven. Afgezien van foutmeldingen, die zijn
afgedrukt naar de standaardfout, gaat alle uitvoer naar de standaarduitvoer.

Gewoonlijk, een optie zal worden gespecificeerd om de jurisdictie namens welke te selecteren
roosters worden gemaakt.

Voorbeelden

Deze voorbeelden gaan ervan uit dat de naam van het rechtsgebied die gebruikt moet worden EXAMPLE is en dat het domein dat is
voorbeeld.com.

Om deze authenticatiemethode te gebruiken, a DACS beheerder zou de volgende stappen uitvoeren:

· Nadat u de manier waarop de methode werkt heeft bekeken, beslist u hoe de roosters veilig zullen zijn
gedistribueerd naar gebruikers, selecteer de netwerkparameters, beslis of pincodes zullen worden gebruikt en
hoe ze veilig worden gedistribueerd en een schema bepalen voor het vernieuwen van roosters
(en misschien pincodes).

· Bepaal waar de roosters worden opgeslagen en voeg een geschikte VFS-richtlijn toe aan dacs.conf,
bijvoorbeeld:

VFS "[auth_grid]dacs-kwv-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/grids"

· Genereer sleutels, beslis waar ze worden opgeslagen en voeg een geschikte VFS-richtlijn toe
dacs.conf, bijvoorbeeld (uw gebruikers-ID, groeps-ID en pad kunnen verschillen):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj VOORBEELD -q auth_grid_keys
% chgrp www auth_grid_keys
% chmod 0640 auth_grid_keys

VFS "[auth_grid_keys]dacs-fs:${Conf::FEDERATIONS_ROOT}/\
${Conf::FEDERATION_DOMAIN}/${Conf::JURISDICTION_NAME}/auth_grid_keys"

· Configureer een geschikte Auth-clausule in dacs.conf, bijvoorbeeld:


URL "https://example.com/cgi-bin/dacs/local_grid_authenticate"
STIJL "pas"
CONTROLE "voldoende"


· Voor elke gebruiker die zich met deze methode kan authenticeren: a) genereer een
rooster met de nodige afmetingen, met of zonder pincode (naar behoefte); b) verkrijgen van de
raster in het meest geschikte formaat en geef het aan de eigenaar; en c) als er een pincode is,
verkrijg de pincode en geef deze aan de eigenaar.

· Vernieuw het raster (en optioneel de pincode) zoals gepland en geef de gebruiker de
vervangend rooster.

Een raster maken en weergeven (maar geen account maken):

% dacsgrid -uj VOORBEELD

Om een ​​raster met standaardafmetingen te genereren en toe te wijzen aan gebruikersnaam bobo (vervangt elk
bestaand raster voor die gebruiker):

% dacsgrid -uj VOORBEELD -set bobo

Om een ​​6x6 raster te genereren en toe te wijzen aan gebruikersnaam bobo (ter vervanging van een bestaand raster):

% dacsgrid -uj VOORBEELD -nrows 6 -ncols 6 -set bobo

Om een ​​raster op te halen en af ​​te drukken (als HTML) voor de gebruikersnaam bobo:

% dacsgrid -uj VOORBEELD -get -html bobo

Om de pincode voor gebruikersnaam bobo weer te geven:

% dacsgrid -uj VOORBEELD -pin bobo

De uitgangsstatus is niet nul als deze gebruiker geen net heeft of als het net dat niet heeft
een pincode hebben.

Om de huidige set rasters naar het bestand /secure/grids te kopiëren:

% dacsgrid -uj VOORBEELD -copy "dacs-kwv-fs:/secure/grids"

Om een ​​alternatieve set rasters in het bestand /secure/grids te vernieuwen:

% dacsgrid -uj VOORBEELD -copy "dacs-kwv-fs:/secure/grids"
% dacsgrid -uj VOORBEELD -vfs "dacs-kwv-fs:/secure/grids" -refresh

Een voorbeeld van een shellscript dat een minimale HTML-inlogpagina genereert voor rasterverificatie
zit in de distributie. Er wordt van uitgegaan dat alle rasters de standaardgrootte hebben.

Als verschillende gebruikers roosters van verschillende grootte kunnen hebben, of als een rechtsgebied dat wil
het serienummer van een gebruikersgrid weergeven als een vorm van juridische authenticatie, en vervolgens de
inlogprocedure moet de gebruikersnaam bepalen voordat deze een uitdaging of serie kan krijgen
nummer.

Gebruik dacsgrid online met behulp van onworks.net-services