一次性密码与安全外壳:保障系统安全登录的有效手段
一次性密码(One - Time Passwords)
在网络安全中,若密码在传输过程中被窃取,即便选择了优质密码并保护好密码文件,也无济于事。因为明文、可重复使用的密码在网络传输中并不安全。为解决这一问题,一次性密码应运而生。
一次性密码,顾名思义,使用一次就丢弃,无法被重复利用。即便被窃取,对于攻击者而言也是无用的。One - Time Passwords In Everything(OPIE)是一款免费的适用于 Linux 的一次性密码软件,可从 http://www.inner.net/ 的 /pub/opie 目录获取,其源代码以压缩包 opie - 2.4.tar.gz 的形式提供。
安装 OPIE 后,它会替换 login、su 和 ftpd 程序,这些替换后的程序既能接受传统密码,也能接受 OPIE 一次性“密码短语”,即由六个短“单词”组成的字符串,这些“单词”可能是也可能不是真正的单词。
OPIE 过渡机制
OPIE 可配置为接受传统可重复使用的密码或 OPIE 密码短语。用户喜欢这一特性,因为在本地控制台登录时,使用可重复使用的密码很方便且无被盗风险;而在远程登录时,可使用一次性密码。但这一特性也存在安全隐患,用户可能会在不恰当的情况下使用可重复使用的密码。
若要启用该特性,在构建 OPIE 软件时,使用--enable - access - file运行 configure,这样就可以使用 /etc/opieaccess 文件。在该文件中,列出允许使用可重复使用密码的主机,示例如下:
