la mia domanda è questa:
C'è un modo (software, hardware / token o web-ware) per utilizzare le password One Time nei seguenti scenari:
Usi una soluzione OTP? Esperienze finora? Sono interessato a entrambe le soluzioni freeware / opensource e commerciali (a pagamento). Grazie in anticipo !!
Grazie per la menzione, Tate. Questa è una grande domanda. Lo interpreto come "come posso iniziare a spostarmi verso forme di autenticazione più forti". Ci sono molte parti in questa domanda e alcune buone risposte, alcune ... ancora in attesa di risposte migliori.
Alcuni background:
Protocolli: Raggio, LDAP, SAML, OATH. Radius è ottimo per uso interno (ldap è più un protocollo di directory che un auth, IMO) e gli ultimi due sono progettati per l'autenticazione esterna / internet. Scegli un protocollo interno e poi un metodo esterno. Limitare te stesso in questo modo ti mantiene pulito e ti aiuta a imparare.
In primo luogo, ubuntu: è facile. hai solo bisogno di imparare un po 'su PAM - il modulo di autenticazione Pluggable. PAM supporta molti protocolli. Costruisci la libreria per il tuo protocollo e poi modifica i file di servizio in /etc/pam.d/. Quindi, sshd, login, su, sudo, qualunque cosa. Ecco un documento su come aggiungere l'autenticazione a due fattori a SSH: link . Fai lo stesso per il login e dovresti essere bravo. Un avvertimento: lascia un modo per entrare! Non vuoi essere bloccato. Questo è uno dei motivi per cui la maggior parte delle aziende si preoccupa solo dell'accesso remoto e non dell'accesso locale.
Login di Windows: significa cambiare il login di Windows o GINA. Fai questo a tuo rischio e pericolo. Controlla il progetto opensource pgina. Ho provato questo con WiKID usando il raggio su Windows XP molto tempo fa e ha funzionato alla grande. Ma nessuno dei nostri clienti l'ha implementato a causa del rischio di lock-out e potenziali costi di supporto.
Siti web: sempre più aziende separano i "credenziali di accesso" da "account" e vedono che possono ottenere più di questi ultimi se lasciano che qualcun altro gestisca il primo. Evviva. Tuttavia, non tutte le parti autenticate stanno eseguendo l'autenticazione a due fattori. Google è l'unico. Potresti non sentirti a tuo agio con google conoscendo ogni tuo accesso, e potresti anche volere un server che puoi controllare e utilizzare anche per altri servizi.
Se è così, la nostra versione open-source include un plugin per GoogleSSO per Google Domains: link .
Buona fortuna! HTH,
Sistema di autenticazione OPIE ("Una sola password in tutto") funziona sulla maggior parte dei sistemi BSD / Linux / Unix - per esempio pacchetti opie-server e opie-client sotto Ubuntu. Può essere usato per es. in autenticazione PAM o per server web. Ci sono anche client (almeno) per Windows e MacOS.
Se un sito è un "relying party" per una sorta di autenticazione federata (ad es. OAuth, OpenID, Shibboleth, SAML) è possibile utilizzare OTP una volta per accedere a un provider di identità che lo supporta e utilizzare ciò che è essenzialmente uno -time credenziali da loro per accedere al sito.
Potresti provare un Yubikey (http://www.yubico.com/yubikey) come alternativa a prezzi ragionevoli per il secondo dei tuoi problemi, a condizione che il sito supporti OAUTH. Questa è una soluzione OTP, eliminata da un contatore AES, che viene implementata come una tastiera USB (quindi i driver sono raramente necessari).
Questo è il modo in cui funzionano i token come l'onnipresente portachiavi RSA. Il numero generato è effettivamente una password monouso (ok, non lo è davvero, ma il livello di entropia significa che per la maggior parte degli scopi è possibile utilizzarlo come password monouso)
Funziona con Windows e Linux e varie altre impostazioni.
Molte applicazioni web lo usano, ma devono avere il supporto per farlo, come per qualsiasi soluzione OTP devi avere un coordinamento tra la password che fornisci e quella che il sito / l'applicazione si aspetta.
Puoi anche controllare link
The WiKID Strong Authentication System is a patented dual-source, software-based two-factor authentication system designed to be less expensive and more extensible than hardware tokens.
"Fundamentally, WiKID Strong Authentication works this way: A user selects the domain they wish to use and enters the PIN into their WiKID Two-factor client. It is encrypted with the WiKID Server's public key - assuring that only that server can decrypt it with its private key. If the server can decrypt the PIN and it is correct and the account is active, it generates the one-time passcode (OTP) and encrypts it with the client's public key. The user then enters their username and the OTP into whatever service they are using, a VPN e.g., which forwards it to the WiKID Server for validation."
Ultimamente per le implementazioni OTP di base ho cercato AuthAnvil (http://www.scorpionsoft.com/). Funziona con Windows e può collegarsi facilmente a IIS.
Tuttavia, sono abbastanza sicuro che non supporta alcuna variante di Linux.
Leggi altre domande sui tag authentication passwords