Einmalig verwendbare Passwörter benutzen
Auf FreeBSD können zum Anmelden einmalig verwendbare Passwörter mit Hilfe von OPIE benutzt werden. Dazu muss OPIE zuerst auf einem sicheren Kanal mit der -c Option initialisiert werden (am besten auf der Konsole des Rechners). Mit der -s Option kann ein mindestens 5 Zeichen langer Seed (ein zufälliger Initialisierungswert, in folgendem Beispiel abc123) angegeben werden. Während der Initialisierung wird man nach einer mindestend 10 Zeichen langen Passphrase gefragt, welche später zum Generieren der Einweg-Passwörter verwendet werden muss:
# opiepasswd -c -s abc123
Only use this method from the console; NEVER from remote. If you are using
telnet, xterm, or a dial-in, type ^C now or exit with no password.
Then run opiepasswd without the -c parameter.
Using MD5 to compute responses.
Enter new secret pass phrase:<Passphrase>
Again new secret pass phrase:<Passphrase>
ID beat OTP key is 499 abc123
BOLO SNOW FOUR SWAT FURY FAY
Das erste generierte Passwort besitzt die Nummer 499. Beim nächsten Anmelden wird man aber nach dem Passwort mit der Nummer 498 gefragt, deshalb muss dieses zuerst abgefragt werden. Dazu übergibt man die Passwort-Nummer und den Seed an opiekey:
# opiekey 498 abc123
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase: <Passphrase>
FRAU NAIR COCO DRAG SLOB RAFT
Meldet man sich nun zum Beispiel per SSH auf dem Rechner an, wird man nach dem Passwort mit der Nummer 498 gefragt:
# ssh beat@<Rechner>
otp-md5 498 abc123 ext
Password:FRAU NAIR COCO DRAG SLOB RAFT
Es lassen sich auch mehrere Passwörter gleichzeitig generieren. Die Anzahl der Passwörter, welche ausgegeben werden sollen, kann mit der -n Option angegeben werden. Auch muss die Nummer des ersten Passworts, welches generiert werden soll, angegeben werden:
# opiekey -n 5 497 abc123
Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase: <Passphrase>
493: ITEM RUG WORN OLDY FOAL UNIT
494: NINE IVAN DEAD NERO BLUE TAP
495: WEE WADE LOG LAID DANA LAYS
496: FLUB BABE IVAN BURL VAIN HOYT
497: KNOW JOKE ALMA HUED TAIL BIT
Nun können die Passwörter notiert werden. Die Passwortnummern werden bis Null heruntergezählt. Spätestens wenn man bei Null angelangt ist, muss man OPIE neu initialisieren.
Mit Hilfe von opieinfo kann herausgefunden werden, welches Passwort als nächstes verwendet und welcher Seed gebraucht wird.
# opieinfo
497 abc123
Mehr Informationen zu OPIE findet man in der Manpage opiepasswd(1), opiekey(1) und opieinfo(1).