Per default FreeBSD include il supporto per OPIE (One-time Passwords In Everything), configurato per utilizzare l'hash MD5.
Ci sono tre tipi di diverse password di cui parleremo in seguito. Le
prime sono le normali pasword UNIX® o Kerberos, che verranno chiamate
«password UNIX®». Il secondo tipo sono le password one-time
generate dal programma OPIE opiekey(1) e accettate dal programma
opiepasswd(1) e dal prompt di login, che chiameremo
«password one-time». L'ultimo tipo di password č la
password segreta che darai al programma opiekey
(e
qualche volte al programma opiepasswd
) e che viene
utilizzata per generare le password one-time, che chiameremo
«password segreta» o piů semplicemente
«password».
La password segreta non ha niente a che vedere con la password UNIX®; possono essere uguali ma questo č sconsigliato. Le password segrete di OPIE non sono limitate a 8 caratteri come le vecchie password UNIX®[6], possono essere lunghe quanto ti pare. Sono abbastana diffuse password composte da frasi di sei o sette parole. Per la maggior parte, il sistema OPIE funziona in modo totalmente indipendente dal sistema di password UNIX®.
Oltre alla password, ci sono altre due informazioni utili a OPIE. Una č nota come «seme» o «chiave» e consiste di due lettere e cinque numeri. L'altra č nota come «numero di iterazioni» ed č un valore tra 1 e 100. OPIE crea la password one-time concatenando il seme e la password segreta ed applicandovi l'hash MD5 tante volte quanto specificate dal numero di iterazioni, trasformando poi il risultato in sei corte parole inglesi, che saranno la tua password one-time. Il sistema di autenticazione (principalmente PAM) mantiene traccia dell'ultima password one-time usata e autentica l'utente se l'hash della password fornita dall'utente č uguale alla password precedente. Dato che viene usato un hash, ovvero una funzione matematica a senso unico č impossibile generare password one-time future se viene catturata una password durante il suo utilizzo; il numero di iterazioni viene decrementato dopo un login avvenuto con successo per mantenere l'utente e il programma di login in sincrono. Quando il numero di iterazioni scende a 1, OPIE deve essere reinizializzato.
Nelle seguenti spiegazioni si farŕ riferimento a vari
programmi: il programma opiekey
richiede un numero di
iterazioni, un seme e una password segreta e genera una password one-time
o una lista di password one-time consecutive; il programma
opiepasswd
viene utilizzato per inizializzzare OPIE e
per cambiare password, numeri di iterazioni, semi e password one-time; il
programma opieinfo
analizza i file di credenziali
(/etc/opiekeys
) e stampa il numero di iterazioni
e il seme correnti dell'utente che lo richiama.
Traduzione in corso
Questo, ed altri documenti, possono essere scaricati da ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/
Per domande su FreeBSD, leggi la
documentazione prima di contattare
<questions@FreeBSD.org>.
Per domande su questa documentazione, invia una e-mail a
<doc@FreeBSD.org>.