Pakete installieren¶

Auf dem Rechner, auf dem man sich mit OPIE einloggen will, müssen folgende Pakete installiert ^[1] werden:

• opie-server

• opie-client

Befehl zum Installieren der Pakete:

sudo apt-get install opie-server opie-client 

Oder mit apturl installieren, Link: apt://opie-server,opie-client

Und auf dem Computern, auf denen die Einmalpasswörter generiert werden sollen, muss das Paket

• opie-client

Befehl zum Installieren der Pakete:

sudo apt-get install opie-client 

Oder mit apturl installieren, Link: apt://opie-client

installiert ^[1] sein.

OPIE-Schlüssel erzeugen¶

Damit der Client ein gültiges Einmalpasswort erzeugen kann, muss die Verwendung von OPIE auf dem entsprechenden Rechner initialisiert werden. Dazu loggt man sich auf dem Server als der Benutzer ein, mit dem man sich später mittels Einmalpasswörtern authentifizieren möchte und führt folgenden Befehl aus:

opiepasswd -c 

Die Ausgabe dieses Befehls könnte so aussehen:

Adding fop:
Only use this method from the console; NEVER from remote. If you are using
telnet, xterm, or a dial-in, type ^C now or exit with no password.
Then run opiepasswd without the -c parameter.
Using MD5 to compute responses.
Enter new secret pass phrase: 
Again new secret pass phrase: 

ID fop OTP key is 499 mu1376
MANA NEST JOY A ROLL AUNT

Dabei muss ein sicheres, mindestens zehn Stellen langes Passwort eingegeben werden. Als Ausgabe erzeugt das Programm das erste Einmalpasswort. Da dieses aber schon von opiepasswd verwendet wurde, ist es bereits ungültig. Wie gültige Einmalpasswörter für den Computer erzeugt werden, wird weiter unten beschrieben.

PAM-Dateien anpassen¶

Auf dem Rechner wird nun der Login mit Einmalpasswörtern vorbereitet. Da OPIE PAM 🇩🇪 unterstützt, können mit OPIE viele verschiedene Dienste verwendet werden.

Dabei muss zuerst eine Datei /etc/pam.d/opie mit folgendem Inhalt angelegt werden:

auth sufficient pam_unix.so
auth sufficient pam_opie.so
auth required pam_deny.so

Die erste Zeile wird dabei nur benötigt, falls man neben der Authentifizierung mit Einmalpasswörten weiterhin den Login mit normalen Passwörtern zulassen möchte.

Um OPIE nun mit den verschiedenen Authentisierungsdiensten verwenden zu können, muss die eben angelegte Datei /etc/pam.d/opie in die PAM-Konfigurationen der jeweiligen Dienste eingebunden werden. Dazu wird in der Datei /etc/pam.d/<Dienstname> der Eintrag

@include common-auth

durch

@include opie

ersetzt.

ChallengeResponseAuthentication no

ChallengeResponseAuthentication yes

Dienste neustarten¶

Zum Schluss muss noch der Dienst, mit dem OTPs verwendet werden sollen neugestartet werden. Das könnte beispielsweise so aussehen:

sudo /etc/init.d/ssh restart 

Einfacher Login¶

Möchte man sich von einem Client auf dem Server einloggen, wird der Seed und die Sequenznummer benötigt:

ssh 192.168.2.142 

Ausgabe (Beispiel):

Password: 
otp-md5 498 mu1376 ext, Response:

Im Beispiel ist die Sequenznummer 496 und der Seed mu6125. Hiermit muss nun ein OTP-Generator (One-Time-Password-Generator) gefüttert werden. Auf dem Client erledigt das opiekey:

opiekey 496 mu6125 

Nach Eingabe des Passworts generiert das Programm einen Einmalschlüssel für den Server:

Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase: 
COAT MITE ARID SAD HELD BUD

Im Beispiel ist der Schlüssel also COAT MITE ARID SAD HELD BUT. Hiermit kann man sich, vorrausgesetzt man hat den Opie-Key mit dem richtigen Passwort generiert, nun am Server einloggen.

Passwörter im Voraus generieren¶

Die oben beschriebene Methode um Einmalpasswörter zu generieren bringt den entscheidenden Nachteil, dass hier eine Installation von opiekey auf dem Client-System vorausgesetzt wird. Einerseits ist es nicht immer möglich, einen OTP-Generator zu installieren (z.B in Internetcafes), zum Anderen hat man so genau das gleiche Problem, wie vorher: Wird auf einem kompromitierten Rechner die OPIE-Passphrase ausgespäht, so ist es für den Angreifer ohne weiteres möglich, eigene Einmalpasswörter für den Server zu generieren.

Zum Glück lassen sich mithilfe von opiekey auch mehrere Einmalpasswörter in einem Rutsch erzeugen:

opiekey -n 20 496 mu6125 

Nach Eingabe der korrekten Passphrase erzeugt das Programm nun nicht nur ein einziges Einmalpasswortfür die Sequenznummer 496, sondern 19 weitere für die folgenden Sequenzen 495 bis 477:

Using the MD5 algorithm to compute response.
Reminder: Don't use opiekey from telnet or dial-in sessions.
Enter secret pass phrase: 
477: HIND WELD HID CRY EVER RAW
478: SHOT LACY FILL WON TURF GOWN
479: DASH BEEN COAL DANE TAG MANA
480: SAGE FELT KITE FIN LOG TRIM
481: CAW NECK AVID KNOT RUSK BALD
482: MOAN LYLE BERG LOSE HOLD DIAL
483: ROW HOOF OAT BIND AIDE ACTA
484: WEST USER CEIL MAY CURT ICY
485: THEN ROOT BOON DUAL POE BONY
486: EWE BOOT TINA LASS ARAB JOLT
487: SWAB YAW RIB SEWN APS ASKS
488: FLAM GAIT GLOB DUCK MYTH CADY
489: BUS LEAF HAAS SLED TRIG WALL
490: LOAM MONK DEAF BITE MASS SEN
491: APS GETS SELF ALIA LO WIN
492: HEN CALL NAB HEED PUG MARE
493: ELM SOLD FOR RATE HOYT SLAM
494: OVEN AHEM FRED COD REED NOD
495: ARAB DIVE BONG FLAK OAK PUT
496: COAT MITE ARID SAD HELD BUD

Die einzelnen OTPs kann man sich nun notieren und beispielsweise in der Brieftasche mit sich herumtragen. Sollte man sich nun an einem nicht vertrauenswürdigen Rechner mit Hilfe von Einmalpasswörtern authentifizieren wollen, benötigt man nur die im Voraus berechneten Kennungen.