Domanda:
Password monouso. Utilizzo di OTP su Windows, Ubuntu e siti Internet
labmice
2011-01-17 12:56:03 UTC
view on stackexchange narkive permalink

la mia domanda è questa:

Esiste un modo (software, hardware / token o webware) per utilizzare le password monouso nei seguenti scenari:

  • Accedi al mio pc / laptop (Windows o Ubuntu)
  • Accedi a siti con OTP (senza avere un supporto immediato per OTP, che AFAIK non ha).

Usi qualche soluzione OTP? Esperienze fino ad ora? Sono interessato sia a soluzioni freeware / opensource che commerciali (a pagamento). Grazie in anticipo !!

Il modo in cui la domanda mi viene letta è "posso usare una password monouso senza un'infrastruttura di password ont-time", a cui la risposta sarebbe No.
Non capisco il tuo secondo scenario. "out of the box" si riferisce ai prodotti, non ai siti. Sebbene tu possa installare opie-server e opie-client su qualsiasi box Ubuntu. E scommetto che ci sono società di web hosting che offrono supporto pronto all'uso per prodotti come il portachiavi RSA.
Aggiornato per cambiare la formulazione in applicazione. Ma in generale, dipende da cosa intende l'OP per Fuori dagli schemi. Se si utilizza una società di hosting, potrebbe significare che il loro servizio lo offre? Se stai implementando il tuo sito web, sì, metti qualcosa come opie
Sei risposte:
nealmcb
2011-01-17 22:41:40 UTC
view on stackexchange narkive permalink

Il sistema di autenticazione OPIE ("One time Passwords In Everything") funziona sulla maggior parte dei sistemi BSD / Linux / Unix, ad es. pacchetti opie-server e opie-client in Ubuntu. Può essere utilizzato ad es. nell'autenticazione PAM o per i server web. Esistono client (almeno) anche per Windows e MacOS.

Se un sito è una "relying party" per una sorta di autenticazione federata (ad esempio OAuth, OpenID, Shibboleth, SAML) puoi utilizzare OTP una volta per accedere a un provider di identità che lo supporta e utilizzare quelle che sono essenzialmente le loro credenziali una tantum per accedere al sito.

nowen
2011-02-28 19:47:15 UTC
view on stackexchange narkive permalink

Grazie per la menzione, Tate. Questa è un'ottima domanda. Lo interpreto come "come posso iniziare a muovermi verso forme di autenticazione più forti". Ci sono molte parti in questa domanda e alcune buone risposte, alcune ... ancora in attesa di risposte migliori.

Alcune informazioni di base:

Protocolli: Radius, LDAP, SAML, OATH . Radius è ottimo per uso interno (ldap è più un protocollo di directory che un auth, IMO) e gli ultimi due sono progettati per l'autenticazione esterna / Internet. Scegli un protocollo interno e poi un metodo esterno. Limitare te stesso in questo modo lo mantiene pulito e ti aiuta ad imparare.

Primo, ubuntu: è facile. hai solo bisogno di imparare un po 'su PAM, il modulo di autenticazione inseribile. PAM supporta una serie di protocolli. Crea la libreria per il tuo protocollo e quindi modifica i file dei servizi in /etc/pam.d/. Quindi, sshd, login, su, sudo, qualunque cosa. Ecco un documento su come aggiungere l'autenticazione a due fattori a SSH: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with-two -factor-authentication-from-wikid /. Fai lo stesso per il login e dovresti essere bravo. Un avvertimento: lascia un modo per entrare! Non vuoi essere bloccato. Questo è uno dei motivi per cui la maggior parte delle aziende si preoccupa solo dell'accesso remoto e non dell'accesso locale.

Accesso a Windows: significa modificare il login di Windows o GINA. Fallo anche a tuo rischio. Dai un'occhiata al progetto opensource pgina. L'ho testato con WiKID usando Radius su Windows XP molto tempo fa e ha funzionato benissimo. Ma nessuno dei nostri clienti lo ha implementato a causa del rischio di blocco e dei potenziali costi di supporto.

Siti web: sempre più aziende separano i "crediti di accesso" dagli "account" e vedono che possono ottenere di più dai secondi se lasciano che qualcun altro gestisca i primi. Evviva. Tuttavia, non tutte le parti che effettuano l'autenticazione eseguono l'autenticazione a due fattori. Google è l'unico. Potresti non sentirti a tuo agio con Google che conosce ogni tuo accesso, e potresti volere un server che puoi controllare e utilizzare anche per altri servizi.

In tal caso, la nostra versione open source include un plug-in per GoogleSSO per Google Domains: http://www.wikidsystems.com/support/wikid-support-center/how-to/how -to-wikid-strong-authentication-to-google-apps-for-your-domain /.

Buona fortuna! HTH,

Justin Clarke
2011-01-20 02:01:58 UTC
view on stackexchange narkive permalink

Potresti provare Yubikey (http://www.yubico.com/yubikey) come alternativa a prezzi ragionevoli per il secondo dei tuoi problemi, a condizione che il sito supporti OAUTH. Questa è una soluzione OTP, codificata da un contatore AES, che viene implementata come una tastiera USB (quindi i driver sono raramente necessari).

Rory Alsop
2011-01-17 22:19:29 UTC
view on stackexchange narkive permalink

Ecco come funzionano i token come l'onnipresente portachiavi RSA. Il numero generato è effettivamente una password monouso (ok, non lo è davvero, ma il livello di entropia significa che per la maggior parte degli scopi puoi usarla come password monouso)

Funziona con Windows e Linux e varie altre configurazioni.

Molte applicazioni web lo usano, ma devono avere il supporto per esso, come per qualsiasi soluzione OTP devi avere il coordinamento tra la password che fornisci e quella del sito / l'applicazione si aspetta.

Tate Hansen
2011-01-18 02:07:29 UTC
view on stackexchange narkive permalink

Puoi anche controllare http://www.wikidsystems.com/

Il WiKID Strong Authentication System è un sistema brevettato a doppia sorgente, basato su software sistema di autenticazione a due fattori progettato per essere meno costoso e più estensibile dei token hardware.

"Fondamentalmente, l'autenticazione avanzata WiKID funziona in questo modo: un utente seleziona il dominio che desidera utilizzare e inserisce il PIN nel proprio WiKID Client a due fattori. È crittografato con la chiave pubblica del server WiKID, assicurando che solo quel server possa decrittografarlo con la sua chiave privata. Se il server può decrittografare il PIN ed è corretto e l'account è attivo, genera quello- time passcode (OTP) e lo crittografa con la chiave pubblica del client. L'utente immette quindi il proprio nome utente e l'OTP in qualsiasi servizio stia utilizzando, ad esempio una VPN, che lo inoltra al server WiKID per la convalida. "

In che senso si tratta di un sistema authn "a due fattori"? Oltre al PIN, quale altro fattore simile a un token ha l'utente?
È un sistema basato su software, ma a differenza della maggior parte di quelli che utilizzano segreti condivisi, WiKID utilizza chiavi pubbliche. L'utente inserisce un PIN nel token; è crittografato dalla chiave privata dell'utente e inviato al server. Se il PIN è corretto, l'account è valido ecc., Viene generata una OTP sul server, crittografata e restituita all'utente. Pensa è come un certificato, eccetto: c'è un controllo extra: il PIN sul server; c'è un'OTP, quindi funziona su molte interfacce utente; e funzionerà su dispositivi wireless e PC.
Steve
2011-01-17 22:29:11 UTC
view on stackexchange narkive permalink

Per le implementazioni OTP di base ho cercato di recente AuthAnvil (http://www.scorpionsoft.com/). Funziona per Windows e può collegarsi a IIS molto facilmente.

Tuttavia, sono abbastanza sicuro che non supporti alcuna variante di Linux.



Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...