,,, vil du tage din sikkerhed ekstra alvorligt?vil du afvise alle ukrypterede e - mail og bruge en 15360 lidt rsa centrale når du logger på, hva?- og' er ret godt, men det forklarer stadig ' t beskytte dig fra enhver form for angreb.,, tænk på dette: openssh kan skabe en sikker kommunikationskanal mellem din linux boks derhjemme og pc - på internettet cafe, men nogle " ondsindet ", stadig kan installere et tastetryk logger, der registrerer dit kodeord, som i type - eller blot kaste et blik på din skulder.at forpurre planen, har du brug for en adgangskode, der kun er godt for en fælles login forsøg.heldigvis, linux støtter én gang kodeord ordninger gennem standard pluggable autentificering moduler - ramme.alt, hvad du har brug for at oprette det er lidt tid, en kommando linjen, og en printer (forklædnings frivilligt).,, der faktisk er to én gang kodeord pakker let tilgængelige for linux.både følge samme ordning.først beregne en liste over koder på forhånd på maskinen i tvivl.de bruger fingeraftryk af en fysisk kopi af listen, men det er ikke opbevares på maskinen, og kun en tydelig ", kontrol af kode ", af en eller anden form er sparet på diskette, at tyvene fra fat i koderne lokalt.når de bruger logger på, login proces spørgsmål, en udfordring, som kun har en korrekt reaktion fra listen.hvis brugeren reagerer korrekt, han eller hun er logget på og kodeord, der er præget af, ikke anses for at være gyldige igen.,,, alternativer sammenlignet, og den ældre system kaldes opie, som står for en gang kodeord i alt.ope bruger s /key algoritme (rfc 1760) opfundet af leslie lamport (latex fame) og efter i 1980 'erne. i den forberedende fase, opie giver en liste over koder, som hver består af en række fælles ord, som fortrænger frakke føl krus næb tote.listen, har den egenskab, at de enkelte, n, n - kodeord er en hash af password, (n - 1). den første kode på listen er lagret på edb - og revet ud af brugeren, og' s liste; for hver efterfølgende login, brugeren indtaster næste kodeord, edb - hashes kodeordet har reddet og lokalt, og hvis de passer, login er vellykket, og det nye kodeord er reddet lokalt i stedet for de gamle.,, otpw (en gang password) er det nye system, og den forbedrer opie på nogle vigtige områder.for det første passwords anvendes vilkårligt, ikke en, der gør analyse hårdere.andet, otpw bruger tilfældige tråde i stedet for kort, fælles ord, hvilket gør det meget vanskeligere for en angriber kodeord udenad fra listen i et glimt.for det tredje trykt liste over koder er kombineret med en udenad kodeord kun kendt til brugeren, som gør listen ikke på egen hånd.endelig må systemet omfatter indbyggede foranstaltninger til at forhindre en hacker, som træstammer anslag og forsøg på at kopiere det ind samling af tænke på det, før de bruger, har en chance for at slå " ind. ",,, installering,,, du kan downloade det seneste kilde fra otpw skaber markus kuhn ' s web stedet.din distro kan omfatte en pakke, men de fleste synes at stoppe på 1.3 overgang - " øjebliksbillede " pakke, der er til rådighed på kuhn ' s stedet tilføjer flere nye elementer, og det er internt kaldes 1.4, selv om en officiel frigivelse er ikke blevet bekendtgjort, skal du. installere udvikling pakker til dig for at udarbejde otpw, men det har ingen andre særlige områder.bare luk arkivet, løb gøre og installere.,, pakken indeholder to værker: pam modul, der hedder pam_otpw og et password generation værktøj, kaldet otpw-gen. linux udlodninger, at pakke otpw (f.eks. debian) har en tendens til at opdele disse op i to særskilte pakker, otpw bin for kodeordet generation redskab, og pam otpw for den pam modul.hvis du er etablering af en pakke forvaltningssystem, installere begge.,,,,, du giver os, ved at otpw gen kodeord på kommando linjen.programmet siger, du skal vælge en " præfiks kodeord " - de genanvendelige hemmelig del, at du huske... så fingeraftryk en ascii - formateret liste over nummererede passwords til stdout.ved misligholdelse, otpw gen skaber 60 linjer og' værdi af kodeord. det er designet til at passe fint ind på et ark papir i a4 - format.kan de angive et andet antal linjer og piller ved at tilføje - h og - w kontakter på kommandolinjen; hvor mange passer på en side, kunne tage nogle forsøg og fejltagelser.der er højst 1000 kodeord på et tidspunkt, fordi otpw bruger trecifret tal i sin liste.,, kodeord på listen er genereret ved hjælp af tilfældige entropi fra systemet... indsamlet fra uret, system filtilgang gange, og andre uforudsigelige kilder.i den liste, hver kodeord har sin egen nummer efterfulgt af de otte karakter kodeord.de er faktisk en base64 - kodning af binære snor, men for at undgå tvetydighed, vanskeligt at læse tegn " 0 " (nul) " 1 " (1) og " l " (små l) erstattes af tegnsætning.for eksempel:,, 001 ase4 5 = xk, 002 m8hm g: tm, 003 rf6z idhc... 042 sf9r 3ngy,,,,,,,, det er tanken, at man skal trykke på denne liste på papir... straks - - og aldrig opbevare det på computeren.fortsætte med dig hele tiden, lad det aldrig ude af syne, og du vil være i god form.,, når listen er skabt, otpw gen skaber også filen. otpw i brugeren ' hjemme fortegnelse; hver linje i den opstiller en adgangskode nummer efterfulgt af ripemd-160, hash på den faktiske kodeord og brugeren ' s hemmelige (aldrig opbevares eller trykte) kodeord.det gør de. otpw fil crack bevis på sin egen, og fordi det er lagret i bruger ' hjemme fortegnelse, ingen omfattende tilstand er nødvendig.når et kodeord, der anvendes, otpw system emner af passende linje - /. otpw,, at begynde at anvende otpw for login, du bliver nødt til at redigere pam konfiguration fil af den service, de ønsker at sikre.i de fleste tilfælde vil dette være stille, så åben (rod) /etc /pam.d/sshd fil.de relevante strækninger begynder med " men " (som afgør, hvilke autentificering modul vil blive anvendt, når det gælder adgang til ssh - service), og og " samling " (som angiver andre aktioner i systemet for at tage på login klokken).,, kommentere de gamle " men " linje, og tilføje følgende:,,), der kræves pam_otpw.so, nedenfor, tilføjes følgende linje:,, samling, der kræves pam_otpw.so, den første linje siger, at iværksætte otpw modul, som autentificering metode, og den anden er en otpw påmindelse efter login at fortælle dig, hvor mange kodeord er ikke løbe ud er meget vigtigt). endelig åbner ssh - konfiguration fil /etc /ssh /sshd_config og ændre værdien af challengeresponseauthenticsamarbejde, ja.det siger openssh til pam for autentificering i stedet for misligholdelse key exchange protokol.,,, på din mark, sæt i gang!,,, du er nu klar til at afprøve otpw system.genstart sshd med sudo /etc /init.d/ssh igen, så prøv at logge på (enten fra en terminal eller fra en anden computer, bare du og' t log ud af din desktop - systemet fuldt ud i tilfælde af, at du har brug for at løse).,, ssh - login omgående spørger dig for dit brugernavn, efter, du går ind i det det stiller dig for en specifik kodeord efter antal, som f.eks.:,, login < em > nate < /em >, kode 042:,, antallet otpw anmoder om (42) var udvalgt tilfældigt blandt de uudnyttede passwords.på en hurtig, du kommer til dit hemmelige " password præfiks " umiddelbart efterfulgt af personer fra kodeord* på trykte liste (ingen mellemrum eller afkast mellem nogen af dem).for eksempel, hvis kodeordet præfiks, du valgte, var mypassport, du ville komme i mypassportsf9r3ngy.otpw vil få det resultat, at sammenligne med ~ /. otpw og log dig, helt ud af angivelsen for kodeord 42 - /. otpw.,, du og' er i!mark ud 042 på dit kodeord liste (eller brænde den med syre, skære det ud og slug det. hvad får dig til at føle dig mest komfortable).når din liste endelig er opbrugt, du kan skabe en ny, der erstatter - /. otpw fuldt ud, og du kan vælge en ny hemmelige feltrab præfiks.,,, ekstra, ekstra paranoia,,, hvis du ønsker at se otpw ' s hyper sikkerhedselementer i aktion, forsøge at indlede to login møder samtidig.hvad du og', finder, at den anden login møde foranlediget til ikke én, men tre kodeord.det er at forhindre dem, der forsøger at køre dig til sidst, sender den kode, du type i det øjeblik mellem når du skriver den sidste karakter, og når du kommer ind.først, otpw anerkender to forsøg på at logge ind i samme højde og beder dem for forskellige adgangskoder.andet, hvis du er den anden login forsøg, vil de se, hurtig om tre kodeord og blive advaret om, at der er noget galt. og, naturligvis, den nemmeste måde at kludre denne ellers industrielle styrke sikkerheds foranstaltning er at miste det vigtige stykke papir med et kodeord.kuhn anbefaler, at du enten trykker det direkte fra kommando linjen af rørsystemer produktionen af otpw gen til lpr, eller ved at køre det gennem en efterskrift - konverter.uanset hvad, hvis man arbejder i et fælles edb - miljø, vil ' lad det sidde i printeren bakke (det gælder dobbelt for fælles edb - miljøer, hvor maskinen fungerer som en kopimaskine).hvis du og' er virkelig bekymret, overveje at investere i en vandtæt og /eller rive bevis papir for at sikre udskriften selv er ' ikke bliver skadet.- og' ikke engang tænke på at skrive dit brugernavn og password præfiks på det,.,, en gang passwords tilføje en meget specifik sikkerhed objekt (på bekostning af kompleksiteten og " papir forvaltning "), som du behøver måske ikke til daglig brug; men hvis du ønskede, - kunne hook otpw i din desktop linux maskine ' s konsol login sudo, og en række andre pam mulighed for system værktøjer.,, måske en mere interessant eksperiment ville være at forsøge at finde en elektronisk vej til at sikre kodeordet liste - - en, der tilbydes samme portabilitet og " luftspalte " sikring af trykt sort, men er ikke let i fare.der er kommercielle én gang kodeord systemer, der anvender et fysisk bevis til at generere kodeordet liste, men det er lige så let at miste et ark papir.i den anden ende af spektret, selvfølgelig, du kan få en radioaktiv implantat i din arm som russell crowe i " et smukt sind "...selv om du kunne få problemer debugging - denne mulighed.,,,,