Per default FreeBSD include il supporto per OPIE (One-time Passwords In Everything), configurato per utilizzare l'hash MD5.
Ci sono tre tipi di diverse password di cui parleremo in seguito. Le prime sono le normali pasword UNIX® o Kerberos, che verranno chiamate “password UNIX”. Il secondo tipo sono le password one-time generate dal programma OPIE opiekey(1) e accettate dal programma opiepasswd(1) e dal prompt di login, che chiameremo “password one-time”. L'ultimo tipo di password è la password segreta che darai al programma opiekey (e qualche volte al programma opiepasswd) e che viene utilizzata per generare le password one-time, che chiameremo “password segreta” o più semplicemente “password”.
La password segreta non ha niente a che vedere con la password UNIX; possono essere uguali ma questo è sconsigliato. Le password segrete di OPIE non sono limitate a 8 caratteri come le vecchie password UNIX[1], possono essere lunghe quanto ti pare. Sono abbastana diffuse password composte da frasi di sei o sette parole. Per la maggior parte, il sistema OPIE funziona in modo totalmente indipendente dal sistema di password UNIX.
Oltre alla password, ci sono altre due informazioni utili a OPIE. Una è nota come “seme” o “chiave” e consiste di due lettere e cinque numeri. L'altra è nota come “numero di iterazioni” ed è un valore tra 1 e 100. OPIE crea la password one-time concatenando il seme e la password segreta ed applicandovi l'hash MD5 tante volte quanto specificate dal numero di iterazioni, trasformando poi il risultato in sei corte parole inglesi, che saranno la tua password one-time. Il sistema di autenticazione (principalmente PAM) mantiene traccia dell'ultima password one-time usata e autentica l'utente se l'hash della password fornita dall'utente è uguale alla password precedente. Dato che viene usato un hash, ovvero una funzione matematica a senso unico è impossibile generare password one-time future se viene catturata una password durante il suo utilizzo; il numero di iterazioni viene decrementato dopo un login avvenuto con successo per mantenere l'utente e il programma di login in sincrono. Quando il numero di iterazioni scende a 1, OPIE deve essere reinizializzato.
Nelle seguenti spiegazioni si farà riferimento a vari programmi: il programma opiekey richiede un numero di iterazioni, un seme e una password segreta e genera una password one-time o una lista di password one-time consecutive; il programma opiepasswd viene utilizzato per inizializzzare OPIE e per cambiare password, numeri di iterazioni, semi e password one-time; il programma opieinfo analizza i file di credenziali (/etc/opiekeys) e stampa il numero di iterazioni e il seme correnti dell'utente che lo richiama.
Traduzione in corso
[1] |
In FreeBSD le normali password di login possono essere lunghe fino a 128 caratteri. |
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
Per domande su FreeBSD, leggi la documentazione prima di contattare <questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a <doc@FreeBSD.org>.