Como configuro a autenticação de senha uma vez? [fechado
https://stackoverflow.com/questions/540232
-
22-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Eu tenho uma rede doméstica que acesso um pouco remotamente. Mas estou preocupado com a segurança. Embora eu tenha senhas fortes, estou preocupado que alguém adquira minha senha e a use para obter acesso.
Ouvi falar de "senhas únicas" e até as usava na minha universidade. Nós apenas pressionávamos um botão em um dispositivo (ou executava um aplicativo em um telefone) e obtivíamos uma senha gerada que funcionaria pelo próximo minuto ou mais.
- Como posso definir algo assim?
- Existem sistemas fáceis de usar e configurar?
- Alguém brincou com um SDK de um desses sistemas?
- De onde posso obter um kit inicial?
EDITAR: Estou executando uma rede mista Linux e Windows e espero vagamente usá -lo para autenticar em ambos os sistemas operacionais. (Não, não há controlador de domínio, mas posso configurar um usando o samba, suponho.)
Solução
No Linux, é chamado S/Key: aqui
Não é um gizmo de botão, mas você o semeia e imprime uma lista de senhas únicas para transportar com você. Para fazê -lo funcionar com um Env misto, você precisaria fazer com que ele funcione na caixa do Windows e obtenha a caixa Linux para autônoma ou (mais fácil) fazê -lo funcionar no Linux, vincule -o ao samba para que o Windows possa autenticar.
Google é seu amigo.
Outras dicas
A chave S/é boa para uma implementação de OTP de baixo custo. Se você está realmente preocupado com isso, se preocupe também com as suas sessões serem seqüestradas depois que elas são iniciadas. Nesse caso, você pode considerar um túnel SSH para criptografar seu tráfego. O SSH também se presta melhor ao tunelamento de outros aplicativos através dele depois de configurar seu acesso. Por fim, você não tem uma maneira fácil de transportar um cliente SSH com você (ou não confia nos clientes SSH de outras pessoas), existem alguns clientes SSH baseados na Web que você pode oferecer em seu próprio servidor- Portanto, está sob seu controle, mas disponível em qualquer navegador.
Uma abordagem pode ser a seguinte:-
Você precisará fazer um programa que gerará uma senha que só será aceita pelo seu sistema doméstico para um prazo específico.
Para ex. Quando você executa o programa, a saída válida será por uma duração de tempo específica e será aceita pelo seu sistema de segurança doméstica, pois o sistema também gerará a mesma saída enquanto corresponde ao hash, o truque é obter o mesmo hash nos dois lugares .
Eu acho que isso precisará de mais brainstorming !!!!
Como um adendo ao post de renegademind, uma maneira de fazer isso seria ter um programa nas duas extremidades que gera uma sequência de números aleatórios. Uma propriedade dos geradores de números pseudo-aleatórios (PRNGs) é que, se você os iniciar com a mesma semente, eles continuarão a gerar a mesma sequência de números aleatórios. Portanto, dependendo da sua experiência (ou disponibilidade de tecnologia), você pode configurar sua rede para gerar uma nova senha a cada x minutos. Em seguida, você pode carregar um software que seria executado em um telefone ou outro hardware incorporado que calcula qual etapa na sequência o PRNG está fazendo e depois listar a senha atual para você.
Dito que a segurança do seu sistema seria limitada à semente que você escolher e ao tempo para que cada chave é válida.
Além disso, provavelmente existe uma solução de software que fará isso por você. IMHO É melhor tomar a implementação existente e reinventar a roda.
Edit: Wikipedia tem um bom artigo aqui. A peça em tecnologias OTP específicas provavelmente será a mais relevante.
Boa sorte!
A primeira coisa que você precisa decidir é qual protocolo de autenticação será o seu padrão. Eu recomendo o Radius, especialmente para autenticação de dois fatores na empresa. O RADIUS é apoiado por todos os principais provedores de VPN e networking, bem como por todos os principais fornecedores de 2FA.
Em seguida, considere os serviços que você deseja proteger. Para o Linux, isso geralmente significa Pam. Felizmente, adicionar 2fa ao Linux via Pam é bastante indolor: http://www.wikidsystems.com/support/wikid-Support-Center/how-Te/pam-dadius-ow-To-t. Para os serviços do Windows, convém encaminhá -los através da ISA ou da VPN.
Você pode configurar todas as suas solicitações de raio para passar pelo anúncio usando o MS RADIUS Plugin IAS/NPS. http://www.networkworld.com/news/2010/050710-two-factor-authentication-through-windows-server.html?source=nww_rss
Finalmente, ao escolher sua solução 2FA, apenas certifique -se de apoiar o Radius.
Quanto aos SDKs, essa é uma situação por fornecedor. Aqui está um link para o nosso: http://www.wikidsystems.com/downloads/network-clients
HTH, Nick
