Comment configurer une authentification par mot de passe une fois? [fermé
https://stackoverflow.com/questions/540232
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
J'ai un réseau domestique auquel j'accède un peu à distance. Mais je m'inquiète pour la sécurité. Bien que j'aie des mots de passe solides, je crains que quelqu'un acquière mon mot de passe et l'utilise pour accéder.
J'ai entendu parler de "mots de passe une fois" et j'ai même pu les utiliser dans mon université. Nous appuyons simplement sur un bouton sur un appareil (ou exécutions une application sur un téléphone) et obtenions un mot de passe généré qui fonctionnerait pour la minute suivante.
- Comment puis-je définir quelque chose comme ça?
- Y a-t-il des systèmes faciles à utiliser et à configurer?
- Quelqu'un a-t-il joué avec un SDK de l'un de ces systèmes?
- D'où puis-je obtenir un kit de démarrage?
ÉDITER: J'exécute un réseau mixte Linux et Windows, et j'espère vaguement l'utiliser pour s'authentifier sur les deux systèmes d'exploitation. (Non, il n'y a pas de contrôleur de domaine, mais je peux en configurer un en utilisant Samba, je suppose.)
La solution
Sur Linux, cela s'appelle S / Key: ici
Pas un Button Gizmo, mais vous les semenez et imprimez une liste de mots de passe ponctuels à emporter avec vous. Pour le faire fonctionner avec un Envi mixte, vous devez le faire fonctionner sur votre boîte Windows, puis oblige la boîte Linux à l'automate ou (plus facile) le faire fonctionner sur Linux, puis le relier à Samba pour que Windows puisse l'autoriser.
Google est ton ami.
Autres conseils
La clé S / est très bien pour une implémentation OTP à faible coût. Si vous vous inquiétez vraiment, cependant, vous inquiétez également que vos séances soient détournées après leur initiation. Dans ce cas, vous pourriez envisager un tunnel SSH pour crypter votre trafic. SSH se prête également mieux à la tunneling d'autres applications via lui une fois que vous avez configuré votre accès. Enfin, vous n'avez pas un moyen facile de transporter un client SSH avec vous (ou ne faites pas confiance aux clients SSH des autres), il existe quelques clients SSH basés sur le Web que vous pourriez offrir à partir de votre propre serveur - Il est donc sous votre contrôle mais disponible à partir de n'importe quel navigateur.
Une approche pourrait être la suivante: -
Vous aurez besoin de créer un programme qui générera un mot de passe qui ne sera accepté que par Ur Home System pour un délai spécifique.
Pour l'ex. Lorsque vous exécutez le programme, la sortie sera valide pour une durée spécifique et sera acceptée par votre système de sécurité domestique car le système générera également la même sortie tout en correspondant au hachage, l'astuce consiste à obtenir le même hachage aux deux endroits .
Je suppose que cela aura besoin de plus de brainstorming !!!!
En tant qu'addendum au poste de Renegademind, une façon de le faire serait d'avoir un programme aux deux extrémités qui génère une séquence de nombres aléatoires. Une propriété de générateurs de nombres pseudo-aléatoires (PRNGS) est que si vous les démarrez avec la même graine, ils continueront à générer la même séquence de nombres aléatoires. Ainsi, selon votre expérience (ou la disponibilité de la technologie), vous pouvez configurer votre réseau pour générer un nouveau mot de passe toutes les x minutes. Ensuite, vous pourriez transporter un logiciel qui s'exécuterait sur un téléphone ou un autre matériel intégré qui calcule quelle étape dans la séquence du PRNG est à la hauteur, puis énumérez le mot de passe actuel pour vous.
Cela dit, la sécurité de votre système serait limitée à la graine que vous choisissez et au moment où vous choisissez que chaque clé est valable.
En plus de cela, il existe probablement une solution logicielle qui le fera pour vous. À mon humble avis, il est préférable de prendre l'implémentation existante puis de réinventer la roue.
Edit: Wikipedia a un bon article ici. La partie sur des technologies OTP spécifiques sera probablement la plus pertinente.
Bonne chance cependant!
La première chose que vous devez décider est de savoir quel protocole d'authentification sera votre norme. Je recommande le rayon, en particulier pour l'authentification à deux facteurs dans l'entreprise. Radius est soutenu par tous les principaux fournisseurs de VPN et de réseautage ainsi que par tous les principaux fournisseurs 2FA.
Ensuite, considérez les services que vous souhaitez protéger. Pour Linux, cela signifie généralement PAM. Heureusement, l'ajout de 2FA à Linux via PAM est assez indolore: http://www.wikidsystems.com/support/wikid-support-center/how-t-to/pam-radius-how-to/. Pour les services Windows, vous voudrez les acheminer à travers Isa ou le VPN.
Vous pouvez configurer toutes vos demandes de rayon pour passer par AD à l'aide du plugin RADIUS MS IAS / NPS. http://www.networkworl
Enfin, lors du choix de votre solution 2FA, assurez-vous simplement de prendre en charge le rayon.
Quant aux SDK, c'est une situation par vendeur. Voici un lien vers le nôtre: http://www.wikidsystems.com/downloads/network-clices
Hth, Nick
