14.5.Password One-time

Per default FreeBSD include il supporto per OPIE (One-time Passwords In Everything), configurato per utilizzare l'hash MD5.

Ci sono tre tipi di diverse password di cui parleremo in seguito. Le prime sono le normali pasword UNIX o Kerberos, che verranno chiamate password UNIX. Il secondo tipo sono le password one-time generate dal programma OPIE opiekey(1) e accettate dal programma opiepasswd(1) e dal prompt di login, che chiameremo password one-time. L'ultimo tipo di password la password segreta che darai al programma opiekey (e qualche volte al programma opiepasswd) e che viene utilizzata per generare le password one-time, che chiameremo password segreta o pi semplicemente password.

La password segreta non ha niente a che vedere con la password UNIX; possono essere uguali ma questo sconsigliato. Le password segrete di OPIE non sono limitate a 8 caratteri come le vecchie password UNIX[6], possono essere lunghe quanto ti pare. Sono abbastana diffuse password composte da frasi di sei o sette parole. Per la maggior parte, il sistema OPIE funziona in modo totalmente indipendente dal sistema di password UNIX.

Oltre alla password, ci sono altre due informazioni utili a OPIE. Una nota come seme o chiave e consiste di due lettere e cinque numeri. L'altra nota come numero di iterazioni ed un valore tra 1 e 100. OPIE crea la password one-time concatenando il seme e la password segreta ed applicandovi l'hash MD5 tante volte quanto specificate dal numero di iterazioni, trasformando poi il risultato in sei corte parole inglesi, che saranno la tua password one-time. Il sistema di autenticazione (principalmente PAM) mantiene traccia dell'ultima password one-time usata e autentica l'utente se l'hash della password fornita dall'utente uguale alla password precedente. Dato che viene usato un hash, ovvero una funzione matematica a senso unico impossibile generare password one-time future se viene catturata una password durante il suo utilizzo; il numero di iterazioni viene decrementato dopo un login avvenuto con successo per mantenere l'utente e il programma di login in sincrono. Quando il numero di iterazioni scende a 1, OPIE deve essere reinizializzato.

Nelle seguenti spiegazioni si far riferimento a vari programmi: il programma opiekey richiede un numero di iterazioni, un seme e una password segreta e genera una password one-time o una lista di password one-time consecutive; il programma opiepasswd viene utilizzato per inizializzzare OPIE e per cambiare password, numeri di iterazioni, semi e password one-time; il programma opieinfo analizza i file di credenziali (/etc/opiekeys) e stampa il numero di iterazioni e il seme correnti dell'utente che lo richiama.

Traduzione in corso



[6] In FreeBSD le normali password di login possono essere lunghe fino a 128 caratteri.

Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/

Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.

Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.