Иногда хороших паролей оказывается недостаточно. Пароли передаются по сети открытым текстом. Злоумышленники могут использовать приложения анализа протоколов для просмотра сетевого трафика и кражи паролей. Если пароль украден, его качество перестает иметь какое-либо значение.
Вор может находиться в любой сети, через которую проходят ваши пакеты TCP/IP. Если обращение к системе происходит через локальную сеть, необходимо беспокоиться только о локальных шпионах. Но если обращение происходит через сеть Интернет, следует беспокоиться из-за невидимых слушателей в целом ряде неизвестных сетей.
Программы, работающие с шифрованными паролями, неуязвимы для подобных атак. По этой причине на смену telnet в широких масштабах приходит защищенный интерпретатор команд ssh (secure shell). Однако клиент защищенного интерпретатора команд может отсутствовать на удаленной сетевой площадке. В таком случае следует использовать одноразовые пароли для регистрации в удаленных системах. Поскольку одноразовый пароль может использоваться только раз, человек, укравший пароль, не сможет им воспользоваться.
Естественно, одноразовые пароли существенно осложняют жизнь. Необходимо иметь с собой перечень одноразовых паролей либо какой-то генератор таких паролей при каждой необходимости провести сеанс работы с системой. Не взяв с собой перечень, вы не сможете войти в систему. На первый взгляд проблема может показаться чрезмерно серьезной. Обычно пользователь регистрируется в системе с рабочего места и работает в основном с настольным компьютером либо одной из машин локальной сети. При работе с настольным компьютером пароль не передается по сети, поэтому пароли можно использовать повторно. А в случаях, когда обе стороны канала находятся под контролем, можно использовать ssh. Одноразовые пароли нужны только в случаях, когда работа происходит с удаленной системой без применения ssh. Таким образом, некоторые механизмы одноразовых паролей позволяют применять многоразовые пароли, когда это допустимо.
Существует несколько систем применения одноразовых паролей. В некоторых из них применяется специализированное аппаратное обеспечение, например смарт-карты. OPIE - это бесплатная программная система, не требующая специального аппаратного обеспечения.
OPIE
OPIE (One-time Passwords In Everything, одноразовые пароли всегда и везде) - бесплатное приложение, созданное Военно-морской исследовательской лабораторией США (NRL, U.S. Naval Research Laboratory), которое модифицирует систему Unix, позволяя использовать одноразовые пароли. OPIE является производной от Skey, системы одноразовых паролей, разработанной компанией Bell Communications Research (Bellcore).
Получить OPIE можно в сети Интернет по адресу http://inner.net/opie. Файл с текущей версией OPIE называется opie-2.4.tar.gz. Распакуйте файл командой gunzip, извлеките содержимое архива при помощи tar. В результирующем каталоге содержатся файлы исходных текстов, файлы сборки (Makefiles) и сценарии, необходимые для компиляции и установки OPIE.
В составе OPIE присутствует сценарий автоматической настройки configure, определяющий конфигурацию системы и надлежащим образом корректирующий таке-файл. Сценарий хорошо выполняет свои задачи, но, тем не менее, следует проверить содержимое файла сборки и убедиться в его корректности. Например, в моей системе Linux установлен FTP-демон Вашингтонского университета - wu. ftpd. OPIE заменяет login, su и ftpd собственными вариантами этих программ. В случае моей системы более ранние версии OPIE configure не находили ftpd, а я не замечал этого, просматривая Makefile. Команда make отрабатывала без ошибок, однако в работе команды make install возникала ошибка при попытке установить FTP-демон OPIE. После тривиальной правки файла Makefile повторное выполнение make install было успешным.
Действие OPIE становится очевидным сразу после завершения установки. Выполнив команду su, вы получите приглашение root's response: вместо Password:, login отображает приглашение Response or Password: вместо просто Password:. Программы, выводящие приглашение Response or Password, позволяют ввести OPIE-ответ либо обычный пароль из файла /etc/passwd. Данная возможность позволяет пользователям постепенно переходить от использования традиционных паролей к системе OPIE, а также проходить регистрацию на локальной машине при помощи паролей многократного применения и регистрацию на удаленных машинах при помощи одноразовых паролей. Все прелести жизни - удобная локальная регистрация без необходимости создавать раздельные учетные записи для локальной и удаленной проверки подлинности!
Чтобы использовать OPIE, необходимо, прежде всего, выбрать секретный пароль, на основе которого будет сгенерирован перечень одноразовых паролей, а затем выполнить программу-генератор. Чтобы выбрать пароль, выполните opiepasswd следующим образом:
$ opiepasswd -с Updating kristin: Reminder - Only use this method from the console; NEVE R from remote. If you are using telnet,•xterm, or a dial-in, type "C now or exit with no password. Then run opiepasswd without the -c parameter. Using MD 5 to compute responses. Enter old secret pass phrase: 3J5Wd6PaWP Enter new secret pass phrase: 9WA11WSfW95/NT Again new secret pass phrase: 9WA11WSfW95/NT
В данном примере пользователь Кристина (kristin) обновляет свой секретный пароль. Она выполняет opiepasswd с консоли компьютера (что и отражает ключ командной строки -с). Выполнение opiepasswd с консоли - вариант наиболее безопасный. Если команда выполняется не с консоли, необходимо иметь с собой копию программы opiekey, которая позволяет сгенерировать верные ответы, необходимые при вводе старых и новых секретных паролей, поскольку ввод паролей открытым текстом допускается только с консоли.
Кристине предлагается ввести ее старый пароль и выбрать новый. Пароли OPIE должны иметь длину не менее 10 символов. Поскольку новый пароль имеет надлежащую длину, программа opiepasswd принимает его и выводит следующие две строки:
ID kristin OPIE key is 499 be93564 CITE JAN GOR Y 8ELA GE T ABE D
Эти строки дают Кристине информацию, необходимую для создания регистрационных OPIE-ответов и первого ответа для входа в систему. Одноразовый пароль для следующего входа в систему содержится во второй строке: группа из шести коротких строк прописных символов. Первая строка содержит начальный порядковый номер (499) и значение инициализации (Ье93564), которые в совокупности с секретным паролем позволяют Кристине генерировать регистрационные OPIE-ответы. Такие ответы генерируются программой opiekey.
opiekey на входе берет порядковый номер, значение инициализации, а также секретный пароль пользователя, а генерирует корректный одноразовый пароль. Если в системе, с которой происходит регистрация, присутствует opiekey, одноразовые пароли можно генерировать по одному за раз. В противном случае можно заранее применить ключ -п и получить набор паролей. Запишите пароли, положите их в бумажник - и вперед! В следующем примере мы запрашиваем пять (-п 5) ответов у opiekey:
$ opiekey -n 5 495 wi01309 Using MD 5 algorithm to compute response. Reminder: Don't use opiekey from telnet or dial-in sessions. Enter secret pass phrase: UUaX26CPaU 491: HOS T VE T FOW L SEE K IOWA YA P 492: JOB ART S WER E FEA T TILE IBIS 493: TRUE BRE D JOEL USE R HAL T EBE N 494: HOO D WE D MOL T PA N FE D RUB Y 495: SU B YA W BILE GLE E OW E NO R
Сначала opiekey сообщает нам, что для создания ответов используется алгоритм MD5, что для OPIE является умолчанием. В целях совместимости с более старыми реализациями Skey и OPIE можно предписать opiekey использовать алгоритм MD4 - при помощи ключа командной строки -4. opiekey предлагает ввести секретный пароль, то есть пароль, определенный при помощи opiepasswd. Затем opiekey отображает столько ответов, сколько запрошено, и ныводит их в порядке возрастания порядковых номеров. В данном примере используются порядковые номера от 495 до 491. Когда порядковый номер опустится до 10, выполните повторно opiepasswd и выберите новый секретный пароль. Выбор нового пароля вновь устанавливает порядковый номер в значение 499. Регистрационное приглашение OPIE содержит порядковый номер, и пользователь должен набрать ответ, соответствующий этому номеру. Пример:
login: tyler otp-md5 492 wi01309 Response or Password: JOB ARTS WERE FEAT TILE IBIS
По приглашению login: пользователь Tyler вводит свое имя. Система отображает строку, уведомляя пользователя, что одноразовые пароли генерируются по алгоритму MD5 (otp-md5), порядковый номер регистрации в системе 492, и что значение инициализации для генератора одноразовых паролей - wi01309. Пользователь находит ответ для порядкового номера регистрации 492 и набирает шесть коротких строк. Затем вычеркивает ответ из своего списка, поскольку его уже нельзя использовать для входа в систему. Ответ из списка должен использоваться всякий раз, когда регистрация в системе происходит не с локальной консоли. Многоразовые пароли могут использоваться только при регистрации с консоли.
Защищенный командный интерпретатор используется для удаленной регистрации, если доступен клиенту. Вследствие этого одноразовые пароли требуются лишь в особых случаях. Как правило, достаточно иметь один небольшой OPIE-сервер в вашей сети. Удаленные пользователи, вынужденные использовать одноразовые пароли, входят на этот сервер, а затем применяют предпочтительный метод (скажем, ssh) для работы с настоящими серверами.
