44、一次性密码与安全外壳：保障系统安全登录的有效手段

一次性密码与安全外壳：保障系统安全登录的有效手段

一次性密码（One - Time Passwords）

在网络安全中，若密码在传输过程中被窃取，即便选择了优质密码并保护好密码文件，也无济于事。因为明文、可重复使用的密码在网络传输中并不安全。为解决这一问题，一次性密码应运而生。

一次性密码，顾名思义，使用一次就丢弃，无法被重复利用。即便被窃取，对于攻击者而言也是无用的。One - Time Passwords In Everything（OPIE）是一款免费的适用于 Linux 的一次性密码软件，可从 http://www.inner.net/ 的 /pub/opie 目录获取，其源代码以压缩包 opie - 2.4.tar.gz 的形式提供。

安装 OPIE 后，它会替换 login、su 和 ftpd 程序，这些替换后的程序既能接受传统密码，也能接受 OPIE 一次性“密码短语”，即由六个短“单词”组成的字符串，这些“单词”可能是也可能不是真正的单词。

OPIE 过渡机制

OPIE 可配置为接受传统可重复使用的密码或 OPIE 密码短语。用户喜欢这一特性，因为在本地控制台登录时，使用可重复使用的密码很方便且无被盗风险；而在远程登录时，可使用一次性密码。但这一特性也存在安全隐患，用户可能会在不恰当的情况下使用可重复使用的密码。

若要启用该特性，在构建 OPIE 软件时，使用--enable - access - file运行 configure，这样就可以使用 /etc/opieaccess 文件。在该文件中，列出允许使用可重复使用密码的主机，示例如下：