È possibile configurare un punto di accesso per utilizzare le password monouso per l'autenticazione e la crittografia?
È possibile configurare un punto di accesso per utilizzare le password monouso per l'autenticazione e la crittografia?
Potresti configurare il punto di accesso per utilizzare WPA2-Enterprise e quindi configurare il tuo radius server per utilizzare OTP come password.
Ciò significherebbe che l'utente inserisce l'OTP come password. Una cosa da notare, è che il client non sa che è un OTP e potrebbe salvare il profilo (che non funzionerà la prossima volta da quando l'OTP viene speso), causando così mal di testa per gli utenti.
Una cosa mi incuriosisce: perché utilizzare OTP per Wifi se non è per il pagamento tramite hotspot? Un'idea migliore sarebbe quella di utilizzare una password di gruppo generale per accedere all'hotspot e a Internet, ma quando si desidera accedere ad altri servizi (ad esempio, server interni, intranet, archiviazione sicura ecc., È necessario autenticarsi su una pagina Web per ottenere accesso attraverso un firewall.
Per l'autenticazione semplice molti venditori lo propongono sotto forma di un captive portal che chiede agli utenti di un OTP prima di consentire loro l'accesso a Internet. Tuttavia, questo non protegge l'effettiva rete Wi-Fi e se si tratta di un hotspot aperto (nessuna crittografia), gli utenti possono comunque intercettare il traffico reciproco e impersonarsi reciprocamente agli occhi dell'AP spoofingando il loro indirizzo MAC.
Un'altra soluzione riguarda sia l'autenticazione che la crittografia del segnale wireless, chiamata EAP-POTP richiede un OTP per connettersi alla rete e tutto il traffico wireless viene crittografato, indipendentemente dal tipo di protocolli utilizzati (quindi l'utilizzo di HTTP in questo caso andrebbe benissimo). Non include un orribile captive portal, il che significa che devi inserire l'OTP direttamente dal sistema operativo del tuo dispositivo, che è più veloce e più user-friendly. Sfortunatamente questa tecnologia non è abbastanza popolare (una ricerca non produce molti risultati oltre a un RFC e alcuni siti di produttori di router aziendali) e non so se è supportata nella maggior parte dei sistemi operativi che usiamo oggi.
Come sottolineato da sebastian nielsen, dovresti utilizzare un server RADIUS per autenticare con OTP. Non sono d'accordo usando una password di gruppo. Se desideri distinguere gli utenti o negare l'accesso per singoli utenti un giorno, devi utilizzare un'autenticazione individuale come OTP (RADIUS) o certificati client.
L'OTP fornisce mal di testa, poiché l'OTP non sarà valido una seconda volta (come sottolineato da sebastian), ma d'altra parte i certificati client devono essere rinnovati dopo il periodo di validità e potrebbe essere più complicato registrarsi agli utenti.
Quindi puoi scegliere quale scenario si adatta meglio per te.
Leggi altre domande sui tag wifi one-time-password