Wie richte ich eine Zeitauthentifizierung für Kennwort ein? [abgeschlossen
https://stackoverflow.com/questions/540232
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich habe ein Heimnetzwerk, auf das ich ziemlich viel zugegriffen habe. Aber ich mache mir Sorgen um die Sicherheit. Ich habe zwar starke Passwörter, aber ich mache mir Sorgen, dass jemand mein Passwort erfasst und es verwendet, um Zugriff zu erhalten.
Ich hörte von "einmaligen Passwörtern" und durfte sie sogar an meiner Universität verwenden. Wir drücken einfach eine Taste auf einem Gerät (oder führen eine Anwendung auf einem Telefon aus) und erhalten ein generiertes Passwort, das für die nächste Minute oder so funktioniert.
- Wie kann ich so etwas einstellen?
- Gibt es Systeme, die einfach zu bedienen und einrichten zu können?
- Hat jemand mit einem SDK von einem dieser Systeme herumgespielt?
- Woher bekomme ich ein Starter -Kit?
BEARBEITEN: Ich führe ein gemischtes Linux- und Windows -Netzwerk aus und hoffe vage, dies zur Authentifizierung in beiden Betriebssystemen zu verwenden. (Nein, es gibt keinen Domänencontroller, aber ich kann einen mit Samba einrichten, nehme ich an.)
Lösung
Unter Linux heißt es S/Key: hier
Kein Schaltfläche Gizmo, aber Sie säen sie und drucken eine Liste mit einmaligen Passwörtern aus, die Sie mit Ihnen herumtragen können. Damit es mit einer gemischten Umgebung funktioniert, müssen Sie es in Ihrem Windows -Box zum Laufen bringen, und bringen Sie das Linux -Box von diesem oder (einfacheren) auf Linux zum Laufen und verlinken Sie es mit Samba, damit Windows sich authieren kann.
Google ist dein Freund.
Andere Tipps
S/Schlüssel ist in Ordnung für eine kostengünstige OTP-Implementierung. Wenn Sie sich wirklich Sorgen darüber machen, dann machen Sie sich auch Sorgen, dass Ihre Sitzungen nach dem Initiieren entführt werden. In diesem Fall können Sie einen SSH -Tunnel in Betracht ziehen, um Ihren Verkehr zu verschlüsseln. SSH bietet sich auch besser, wenn Sie andere Anwendungen durch sie durch das Tunneln des Zugriffs durchführen. Schließlich haben Sie keine einfache Möglichkeit, einen SSH-Client mit Ihnen mitzutragen (oder nicht den SSH-Clients anderer Personen zu vertrauen). Es gibt einige webbasierte SSH-Clients, die Sie von Ihrem eigenen Server anbieten können- Es steht also unter Ihrer Kontrolle, ist jedoch in jedem Browser erhältlich.
Ein Ansatz könnte wie folgt sein:-
Sie müssen ein Programm erstellen, das ein Passwort generiert, das nur von Ihrem Heimsystem für einen bestimmten Zeitrahmen akzeptiert wird.
Für Ex. Wenn Sie das Programm ausführen, ist die Ausgabe für eine bestimmte Zeitdauer gültig und wird von Ihrem Zuhause -Sicherheitssystem akzeptiert, da das System auch die gleiche Ausgabe erzeugt, wenn Sie den Hash abgestimmen .
Ich denke, das wird mehr Brainstorming brauchen !!!!
Als Addendum zu Renegademinds Post wäre eine Möglichkeit, dies zu tun, um ein Programm an beiden Enden zu haben, das eine Folge von Zufallszahlen erzeugt. Eine Eigenschaft von Pseudo-Random-Zahlengeneratoren (PRNGs) ist, dass sie, wenn Sie sie mit demselben Samen starten, weiterhin die gleiche Folge von Zufallszahlen erzeugen. Abhängig von Ihrer Erfahrung (oder der Verfügbarkeit von Technologie) können Sie Ihr Netzwerk so einstellen, dass sie alle x Minuten ein neues Passwort generieren. Dann können Sie ein Stück Software mit sich herumtragen, das auf einem Telefon oder einer anderen eingebetteten Hardware ausgeführt wird, die berechnet, welchen Schritt in der Sequenz die PRNG entspricht, und dann das aktuelle Passwort für Sie auflisten.
Nachdem die Sicherheit Ihres Systems auf den von Ihnen gewählten Saatgut beschränkt ist und die Zeit, für die Sie auswählen, dass jeder Schlüssel gültig ist.
Darüber hinaus gibt es wahrscheinlich eine Softwarelösung, die dies für Sie erledigt. IMHO Es ist besser, die vorhandene Implementierung zu nehmen, als das Rad neu zu erfinden.
Bearbeiten: Wikipedia hat einen guten Artikel hier. Der Teil an bestimmten OTP -Technologien wird wahrscheinlich am relevantesten sein.
Viel Glück!
Das erste, was Sie entscheiden müssen, ist, welches Authentifizierungsprotokoll Ihr Standard sein wird. Ich empfehle Radius, insbesondere für die Zwei-Faktor-Authentifizierung im Unternehmen. Radius wird von allen großen VPN- und Networking -Anbietern sowie allen wichtigen 2FA -Anbietern unterstützt.
Betrachten Sie dann die Dienste, die Sie schützen möchten. Für Linux bedeutet dies normalerweise PAM. Glücklicherweise ist es ziemlich schmerzlos, 2FA zu Linux über PAM hinzuzufügen: http://www.wikidsystems.com/support/wikid-support-center/how-to-pam-radius-how-to/. Für Windows Services möchten Sie sie über ISA oder das VPN weiterleiten.
Sie können alle Ihre Radius -Anforderungen für die Anzeige mit dem MS Radius Plugin IAS/NPs konfigurieren. http://www.networkworld.com/news/2010/050710-two-factor-authentication-through-windows-server.html?source=nww_rss
Stellen Sie bei der Auswahl Ihrer 2FA -Lösung schließlich sicher, dass sie Radius unterstützen.
SDKS ist eine Situation pro Anbieter. Hier ist ein Link zu unserer: http://www.wikidsystems.com/downloads/network-clients
HTH, Nick
