dacsgrid - Online na nuvem

PROGRAMA:

NOME

dacsgrid - administrar senhas de uso único baseadas em grade

SINOPSE

dacsgrid [opções dac[1]] [-desafio] [-clén Números] [-cópia de vfs_uri]
[-dezembro token] [-excluir] [-desativar] [-habilitar] [-enc desafiar] [-expirado]
[-plano] [-pegue] [-rede str] [-h | -Socorro] [-html] [-htmlcss]
[-chaves Tipo de item] [-tempo de vida dias] [-Lista] [-longo] [-ncols Números]
[-nrows Números] [-outkeys Tipo de item] [-Pin [Números]] [-refrescer] [-rnd] [-semente str]
[-serial] [-conjunto] [-Tamanho] [-teste] [-texto] [-validar desafiar resposta]
[-vfs vfs_uri]

DESCRIÇÃO

Este programa faz parte do DACS diante.

A dacsgrid utilitário fornece senhas de uso único baseadas em software para DACS autenticação
usando uma arquitetura de desafio-resposta. Ele administra contas que são usadas pelo
local_grid_authenticate[2] módulo de autenticação. Essas contas são completamente separadas
das contas usadas por local_passwd_authenticate[3] ou qualquer outro DACS autenticação
módulo.

dacsgrid gera uma grade retangular de células. Cada célula consiste em uma letra, seguida
por um dígito, seguido por uma letra, resultando em 6,760 (26 * 10 * 26) de três caracteres possíveis
cordas. O conteúdo de cada célula é gerado a partir de criptograficamente forte
bytes pseudo-aleatórios. O tamanho máximo da grade é de 99 linhas por 26 colunas, e a grade mínima
o tamanho é 3 por 3. As colunas são rotuladas de A a Z e as linhas são rotuladas de 1 a
99. Para tamanhos de grade recomendados, é altamente provável que cada grade gerada seja
único e, portanto, cada usuário será atribuído a uma grade diferente.

Aqui está uma grade de 10x10 (o tamanho padrão):

ABCDEFGHIJ
1x7m p7m k4c q9s q2k d9l s5m r8c y3v g2m
2 o0c t6h q7k l3w p8a q3e b9c l0w z8y c8v
3 v8n n1w r6i i0g e9y q1n p0g g9v x4y c5u
4 z8a o9d l1e e8n u8z h3y p2s b9z c6w d5f
5x8y o2a y4g d9i s4p c9n c1e m5z o6j m0f
6 p2s x4c a2x p4f w7y b8k e6c q9g q5v s4z
7 b8k r4s r2p z5x v3e s0h h5l z6y e9o g6m
8 r5x m4r a1w f8c f5g l2z q7j r4m w0c x9a
9 p7s r3g i7c p8a t5x c4h h0k k9d i7k r9n
10 w4l v0a p9g i0l v2n b8h v9j s0y r3k v0m

Serial: 2497a62a83ad4bc4
Criado: Seg, 14 de agosto 10:25:03 2006 PDT

Uma célula é identificada por seu rótulo de coluna (uma letra) seguido por seu rótulo de linha (um número);
por exemplo, no exemplo acima, a célula F6 tem o valor b8k.

Cada grade é atribuída a uma string de identificação aleatória (e presumivelmente única) (rotulada
"Serial" no exemplo acima); esta string é armazenada no servidor com outra grade
dados da conta. Ele pode ser exibido por uma jurisdição no momento do login como uma forma de
autenticar-se para um usuário, desde que seja mantido em sigilo (uma abordagem pode ser
para cada uma das partes fornecer uma metade diferente da string de identificação para o
de outros).

No momento da autenticação, o usuário é apresentado a um desafio gerado aleatoriamente que é
apropriado para a grade do usuário. O desafio é exibido para o usuário; por exemplo, "A3, C9,
B1, F9 ". O número de série da grade, ou parte dela, também pode ser exibido. O usuário
deve consultar sua grade para localizar cada uma das células para o determinado desafio e entrar em seus
conteúdo como a senha. Letras não diferenciam maiúsculas de minúsculas, espaços em branco, tabulações e vírgulas são
ignorado. Para a grade e o desafio acima, o usuário deve inserir os seguintes caracteres
como a senha:

v8ni7cp7mc4h

Observe que um desafio pode solicitar a mesma célula mais de uma vez.

Um desafio é válido por um período de tempo configurável, após o qual não pode mais ser
usado para autenticação; Vejo AUTH_GRID_CHALLENGE_SECS[4].

Para julgar quanto tempo um desafio deve durar, suponha que as senhas selecionadas pelo usuário sejam escolhidas
de forma aleatória e uniforme a partir de aproximadamente 100 caracteres disponíveis em um teclado. Isto é
uma suposição muito generosa que raramente é realizada na prática. Um desafio de grade de quatro
células é muito mais forte do que uma senha de seis caracteres selecionada pelo usuário (69604 vs. 1006)
e um desafio de grade de cinco células é muito mais forte do que uma senha selecionada pelo usuário de nove
caracteres (69605 vs. 1009). Quando comparada a senhas de usuário típicas, no entanto, uma grade
desafio de três células é provavelmente tão forte quanto uma senha de sete escolhida pelo usuário ou
oito personagens.

As grades são acessadas por meio de DACS's armazenamento de arquivos virtual usando o tipo de item auth_grid. Isto é
assumiu que as permissões de arquivo no banco de dados de grades são tais que todo o acesso é limitado
para o administrador e local_grid_authenticate.

Após um período configurável de tempo de execução, uma grade expira e não será aceita por
fins de autenticação por local_grid_authenticate (Vejo AUTH_GRID_LIFETIME_SECS[5]) ou
dacsgrid (Vejo -tempo de vida) O período de validade de uma grade pode ser baseado em vários fatores,
como a frequência com que é usado em uma jurisdição, o número de células na grade, o
grau de segurança necessário, ou quão difícil ou caro é distribuir uma grade para
seu usuário.

No momento em que uma grade é gerada, dacsgrid pode associar um PIN escolhido aleatoriamente a ele. UMA
O PIN, que atua como uma senha secundária, consiste em uma sequência letra-dígito-letra
células. O comprimento padrão do PIN de duas células (6 caracteres) pode ser substituído no comando
linha. Se um PIN foi fornecido a um usuário, ele deve ser inserido no início do
a resposta do usuário ao desafio, imediatamente antes do conteúdo da primeira célula do
desafio são inseridos.

Segurança
Quando usado corretamente, esse método de autenticação pode ser comparativamente seguro. O principal
O desafio é que é essencial que grades e PINs sejam distribuídos aos usuários por meio de um
método suficientemente seguro; por exemplo, imprimindo-os e enviando uma cópia impressa diretamente para
usuário ou usando canais seguros existentes. Cada usuário deve entender que uma grade
é essencialmente uma lista de senhas e, portanto, deve ser mantida em segredo durante sua
período de validade. Quando os PINs são usados, eles devem ser distribuídos por meio de um canal seguro
diferente daquele usado para distribuir grades. Como esta distribuição é feita é deixada
ao DACS administrador.

As informações são criptografadas antes de serem gravadas no arquivo da conta da grade. Por padrão,
o tipo de item do armazenamento de arquivos virtual auth_grid_keys identifica as chaves de criptografia a serem usadas;
que o -chaves e -outkeys sinalizadores especificam alternativas (ver dackey(1)[6]). Arquivo
as permissões devem ser definidas para que as chaves de criptografia sejam lidas apenas por dacsgrid. Se
as chaves de criptografia são perdidas, as entradas da conta são praticamente irrecuperáveis.

Apenas o DACS o administrador deve ser capaz de executar com sucesso este programa a partir do
linha de comando. Porque DACS chaves e arquivos de configuração, incluindo o arquivo usado para
contas de loja, devem ser restritas ao administrador, normalmente será o
caso, mas um administrador cuidadoso irá definir permissões de arquivo para negar acesso a todos
outros usuários.

Este método de autenticação tem as seguintes vantagens:

· Cada vez que um usuário se autentica, uma senha diferente será solicitada (com alta
probabilidade)

· A senha necessária não é conhecida antes da autenticação, então um usuário não pode
diga a outra pessoa qual é sua senha, exceto por meio do compartilhamento de toda a grade (e o
PIN, se houver)

· Como é improvável que a senha seja uma palavra ou frase facilmente adivinhada, deveria ser
mais forte do que uma senha selecionada pelo usuário

· Se um farejador de chave for instalado no computador do usuário, uma senha farejada não
fazem bem a um invasor, uma vez que é altamente improvável que seja reutilizado. Se o
o desafio correspondente também pode ser obtido por um invasor, por exemplo, por meio de um
ataque de phishing, uma parte da grade será revelada

· O comprimento do desafio (que determina o comprimento da senha) é
configurável pelo administrador e pode ser alterado à vontade

· A grade de um usuário pode ser facilmente alterada por um administrador tão frequentemente quanto possível

· O método é mais barato do que senhas de uso único baseadas em hardware, desde distribuição
custos são baixos

Este método de autenticação tem as seguintes desvantagens potenciais:

· O método de autenticação é inerentemente interativo, pois a senha não é conhecida
a priori, embora isso não garanta que o usuário esteja fisicamente presente

· Canais seguros são necessários para distribuir grades e PINs

· Uma grade de autenticação pode ser facilmente copiada e por isso é melhor usada em conjunto com
PINs ou pelo menos um outro método de autenticação; o desafio de manter grades
segredo em todas as situações é a principal razão pela qual o método não é tão forte quanto
métodos baseados em tokens de hardware, que são mais difíceis de copiar e podem ser protegidos por
um PIN. O método é melhor empregado em situações onde uma grade provavelmente não será
roubado, facilmente copiado ou mesmo reconhecido, como para acesso remoto.

Este método de autenticação fica em algum lugar entre o formulário "algo que você sabe" e o
forma "algo que você tem". Pode-se ser capaz de memorizar uma grade menor, colocando-a em
a primeira categoria, mas poucos são capazes de memorizar uma grande grade, o que a torna
necessário ter uma cópia em sua posse. O uso de PINs fornece algo mais próximo de
autenticação de dois fatores e fortalece o método, uma vez que uma grade capturada não é diretamente
utilizável.

Note
É possível que usuários diferentes recebam grades de tamanhos diferentes. Prevenir
geração de um desafio impossível de satisfazer, quando o desafio é
solicitado, a grade correspondente deve ter o tamanho padrão, as dimensões de
a grade deve ser especificada ou o nome de usuário deve ser especificado.

OPÇÕES

Além do padrão opções dac[1], os seguintes sinalizadores de linha de comando são
reconhecido:

-desafio
Emita um desafio aleatório. Se nome de usuário foi especificado, um desafio de tamanho apropriado
ser produzido; caso contrário, se as dimensões da grade foram especificadas, um desafio adequado
será produzido; caso contrário, as dimensões da grade padrão serão usadas ao produzir um
desafio.

-clén Números
Defina a duração do desafio para Números células. O comprimento mínimo é de 3 células e o padrão
o comprimento é de 4 células.

-cópia de vfs_uri
Copie as grades de entrada para as grades especificadas por vfs_uri, excluindo qualquer
conteúdos.

-dezembro token
Descriptografar um token de desafio produzido pelo -enc opção e imprimi-lo.

-excluir
Exclua a conta para nome de usuário.

-desativar
Desativar logins para nome de usuário. Implica -conjunto.

-habilitar
Habilitar logins para nome de usuário. Implica -conjunto.

-enc desafiar
Criptografe um desafio (normalmente, produzido pelo -desafio opção) e imprima-o. o
tipo de item federation_keys é usado para este propósito, o que significa que qualquer jurisdição
na federação pode decifrar o desafio.

-expirado
Liste apenas grades expiradas, em relação ao tempo de vida da grade em vigor. Implica -Lista.

-plano
Imprima uma grade em uma representação textual concisa que consiste em três
campos separados por vírgula: o número de série, sinalizador ativado / desativado (diferente de zero significa
ativado), a grade (como uma sequência ordenada de linhas separadas por espaço), um PIN (ou zero se
não há PIN), e a data de criação (como o número de segundos desde a época).

-pegue
Recupere a grade para nome de usuário e torná-la a grade "atual" para fins de exibição.

-rede str
Realizar str, uma grade na representação achatada, a grade "atual" para exibição
propósitos ou o -conjunto bandeira.

-h
-Socorro
Exiba uma mensagem de ajuda e saia.

-html
Emita uma grade como um fragmento de um documento HTML.

-htmlcss
Emita uma grade como um fragmento de um documento HTML com algum CSS.

-chaves Tipo de item
Para descriptografar as informações da conta, use a loja identificada por Tipo de item.

-tempo de vida dias
Considere o tempo de vida das grades como dias dias. As grades não têm uma vida útil fixa;
apenas a data de criação é registrada. A vida útil padrão é de 7 dias.

-Lista
Lista nome de usuário, se fornecido, caso contrário, todos os nomes de usuário.

-longo
Produza uma saída de listagem mais detalhada. Implica -Lista.

-ncols Números
Defina o número de colunas da grade para Números, que está entre 3 e 26. Isso é usado quando
gerando grades e desafios.

-nrows Números
Defina o número de linhas da grade para Números, que está entre 3 e 99. Isso é usado quando
gerando grades e desafios.

-outkeys Tipo de item
Para criptografar as informações da conta, use a loja identificada por Tipo de item.

-Pin[Números]
Se nenhuma outra operação for especificada, imprima o PIN, se houver, para nome de usuário. Com o -conjunto
sinalizar, gerar um novo PIN para nome de usuário. Se um número inteiro não negativo for anexado ao
bandeira (por exemplo, -pin0, -pin4), o comprimento do PIN (em unidades de célula) é definido para esse número com
com relação à geração do PIN. O comprimento padrão do PIN é de 2 células. Configurando o comprimento do PIN
para zero desativa a geração de PIN.

-refrescer
Se um nome de usuário é fornecido, gera uma nova grade para esse usuário. Se não nome de usuário é dada,
gere uma nova grade para cada usuário que já possui uma grade. Qualquer grade existente
torna-se imediatamente inválido. Todas essas grades terão as mesmas dimensões. Se o
-rede sinalizador é fornecido, ele é ignorado. Por padrão, qualquer PIN existente é retido. O velho
o status habilitado / desabilitado da grade é mantido. Se o -Pin sinalizador for dado, um novo PIN
ser gerado; E se -pin0 é fornecido, no entanto, as novas grades não terão um PIN.

-rnd
Reservado para uso futuro.

-semente str
Reservado para uso futuro.

-serial
Imprime o número de série da grade atual.

-conjunto
Defina ou substitua a grade para nome de usuário.

-Tamanho
Mostra as dimensões da grade em termos de sinalizadores de linha de comando -ncols e -nrows.
Implica -Lista.

-teste
Emita uma grade e um desafio, solicite uma resposta e verifique a resposta.

-texto
Emita uma grade bem impressa.

-validar desafiar resposta
Validar resposta contra desafiar.

-vfs vfs_uri
Em vez de usar o tipo de item auth_grid para especificar em quais grades agir, use vfs_uri
(Ver a VFS[7] diretiva de configuração).

A ação padrão é exibir a grade atual. Além das mensagens de erro, que são
impresso com o erro padrão, toda a saída vai para a saída padrão.

Normalmente, um dacopção será especificado para selecionar a jurisdição em nome da qual
grades estão sendo criadas.

EXEMPLOS

Esses exemplos presumem que o nome da jurisdição a ser usado é EXEMPLO e seu domínio é
exemplo. com.

Para usar este método de autenticação, um DACS o administrador executaria as seguintes etapas:

· Depois de revisar a forma como o método opera, decida como as grades serão seguras
distribuído aos usuários, selecione os parâmetros da grade, decida se os PINs serão usados ​​e
como eles serão distribuídos com segurança e determinar um cronograma para grades de atualização
(e talvez PINs).

· Decida onde as grades serão armazenadas e adicione uma diretiva VFS adequada ao dacs.conf,
por exemplo:

VFS "[auth_grid] dacs-kwv-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / grids "

· Gerar chaves, decidir onde elas serão armazenadas e adicionar uma diretiva VFS adequada para
dacs.conf, por exemplo (seu ID de usuário, groupID e caminho podem variar):

% cd /usr/local/dacs/federations_root/example.com/EXAMPLE
% dacskey -uj EXEMPLO -q auth_grid_keys
% chgrp www auth_grid_keys
% chmod 0640 auth_grid_keys

VFS "[auth_grid_keys] dacs-fs: $ {Conf :: FEDERATIONS_ROOT} / \
$ {Conf :: FEDERATION_DOMAIN} / $ {Conf :: JURISDICTION_NAME} / auth_grid_keys "

· Configure uma cláusula Auth adequada em dacs.conf, por exemplo:


URL "https://example.com/cgi-bin/dacs/local_grid_authenticate"
ESTILO "passe"
CONTROLE "suficiente"


· Para cada usuário que será capaz de autenticar usando este método: a) gere um
grade com as dimensões necessárias, com ou sem PIN (conforme necessário); b) obter o
grelha no formato mais adequado e entregue ao seu proprietário; ec) se houver um PIN,
obtenha o PIN e dê-o ao seu proprietário.

· Atualizar a grade (e, opcionalmente, o PIN) conforme programado e dar ao usuário o
grade de substituição.

Para criar e exibir uma grade (mas não criar uma conta):

% dacsgrid -uj EXEMPLO

Para gerar uma grade de dimensões padrão e atribuí-la ao nome de usuário bobo (substituindo qualquer
grade existente para esse usuário):

% dacsgrid -uj EXEMPLO -set bobo

Para gerar uma grade 6x6 e atribuí-la ao nome de usuário bobo (substituindo qualquer grade existente):

% dacsgrid -uj EXEMPLO -nrows 6 -ncols 6 -set bobo

Para recuperar e imprimir uma grade (como HTML) para o nome de usuário bobo:

% dacsgrid -uj EXEMPLO -get -html bobo

Para exibir o PIN do nome de usuário bobo:

% dacsgrid -uj EXEMPLO -pin bobo

O status de saída será diferente de zero se este usuário não tiver uma grade ou se a grade não tiver
tem um PIN.

Para copiar o conjunto atual de grades para o arquivo / secure / grids:

% dacsgrid -uj EXEMPLO -copy "dacs-kwv-fs: / secure / grids"

Para atualizar um conjunto alternativo de grades no arquivo / secure / grids:

% dacsgrid -uj EXEMPLO -copy "dacs-kwv-fs: / secure / grids"
% dacsgrid -uj EXEMPLO -vfs "dacs-kwv-fs: / secure / grids" -refresh

Um exemplo de script de shell que gera uma página de login HTML mínima para autenticação de grade
está incluído na distribuição. Ele assume que todas as grades têm o tamanho padrão.

Se diferentes usuários podem ter grades de tamanhos diferentes, ou se uma jurisdição deseja
exibir o número de série da grade de um usuário como uma forma de autenticação jurisdicional, então o
procedimento de login deve determinar o nome de usuário antes que possa adquirir um desafio ou serial
número.

Use dacsgrid online usando serviços onworks.net