it-swarm-es.com

Contraseñas de un solo uso. Uso de OTP en Windows, Ubuntu y sitios de internet

mi pregunta es esta:

¿Hay alguna manera (software, hardware/token o web-ware) para usar contraseñas de un solo uso en los siguientes escenarios:

  • Iniciar sesión en mi PC/computadora portátil (Windows o Ubuntu)
  • Inicie sesión en sitios con OTP (sin tener un soporte inmediato para OTP, que AFAIK no tiene).

¿Utiliza alguna solución OTP? ¿Experiencias hasta ahora? Estoy interesado en soluciones de software gratuito/de código abierto y comerciales (de pago). Gracias por adelantado !!

10
labmice

Gracias por la mención, Tate. Esta es una gran pregunta. Lo interpreto como "cómo puedo comenzar a avanzar hacia formas más fuertes de autenticación". Hay muchas partes en esta pregunta y algunas buenas respuestas, algunas ... aún esperando mejores respuestas.

Algunos antecedentes:

Protocolos: Radio, LDAP, SAML, JURAMENTO. El radio es ideal para uso interno (ldap es más un protocolo de directorio que una autenticación, IMO) y los dos últimos están diseñados para autenticación externa/internet. Elija un protocolo interno y luego un método externo. Limitarse de esta manera lo mantiene limpio y lo ayuda a aprender.

Primero, ubuntu: eso es fácil. solo necesita aprender un poco sobre PAM, el módulo de autenticación enchufable. PAM admite varios protocolos. Cree la biblioteca para su protocolo y luego edite los archivos de servicios en /etc/pam.d/. Entonces, sshd, login, su, Sudo, lo que sea. Aquí hay un documento sobre cómo agregar autenticación de dos factores a SSH: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with- autenticación de dos factores desde wikid / . Simplemente haga lo mismo para iniciar sesión, y debería ser bueno. Una advertencia: ¡deja una forma de entrar! No quieres ser bloqueado. Esta es una razón por la cual la mayoría de las empresas solo se preocupan por el acceso remoto y no por el acceso local.

Inicio de sesión de Windows: Esto significa cambiar el inicio de sesión de Windows o GINA. Haga esto bajo su propio riesgo también. Echa un vistazo al proyecto pgina de código abierto. Probé esto con WiKID usando radio en Windows XP hace mucho tiempo y funcionó muy bien. Pero ninguno de nuestros clientes implementó esto debido al riesgo de bloqueo y posibles costos de soporte.

Sitios web: Cada vez más, las empresas están separando los "créditos de inicio de sesión" de las "cuentas" y viendo que pueden obtener más de estos últimos si dejan que otra persona maneje los primeros. ¡Hurra! Sin embargo, no todas las partes autenticadoras están haciendo autenticación de dos factores. Google es el único. Sin embargo, es posible que no se sienta cómodo con que google conozca todos sus inicios de sesión y es posible que desee un servidor que pueda controlar y usar para otros servicios también.

Si es así, nuestra versión de código abierto incluye un complemento para GoogleSSO para dominios de Google: http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-wikid-strong -authentication-to-google-apps-for-your-domain / .

¡Buena suerte! HTH

4
nowen

Sistema de autenticación OPIE ("Contraseñas de un solo uso en todo") funciona en la mayoría de los sistemas BSD/Linux/Unix, p. opie-server y opie-client paquetes en Ubuntu. Se puede usar p. en autenticación PAM o para servidores web. Hay clientes (al menos) para Windows y MacOS también.

Si un sitio es una "parte confiable" para algún tipo de autenticación federada (por ejemplo, OAuth, OpenID, Shibboleth, SAML), puede usar OTP una vez para iniciar sesión en un proveedor de identidad que lo admita, y usar lo que son esencialmente credenciales únicas de ellos para iniciar sesión en el sitio.

4
nealmcb

Puede probar un Yubikey (http://www.yubico.com/yubikey) como una alternativa a un precio razonable para el segundo de sus problemas, siempre que el sitio admita OAUTH. Esta es una solución OTP, codificada en un contador AES, que se implementa como un teclado USB (por lo que rara vez se necesitan controladores).

3
Justin Clarke

Así es como funcionan los tokens como el ubicuo llavero RSA. El número generado es efectivamente una contraseña de un solo uso (está bien, en realidad no lo es, pero el nivel de entropía significa que para la mayoría de los propósitos puede usarla como una contraseña de un solo uso)

Funciona con Windows y Linux y varias otras configuraciones.

Muchas aplicaciones web lo usan, pero tienen que ser compatibles, ya que para cualquier solución OTP necesita tener coordinación entre la contraseña que proporciona y la que el sitio/aplicación espera.

2
Rory Alsop

También puede consultar http://www.wikidsystems.com/

El Sistema de autenticación fuerte WiKID es un sistema patentado de autenticación de dos factores basado en software de doble fuente diseñado para ser menos costoso y más extensible que los tokens de hardware.

"Fundamentalmente, la autenticación fuerte de WiKID funciona de esta manera: un usuario selecciona el dominio que desea usar e ingresa el PIN en su cliente de dos factores WiKID. Está encriptado con la clave pública del servidor WiKID - asegurando que solo ese servidor pueda descifrarlo con su clave privada. Si el servidor puede descifrar el PIN y es correcto y la cuenta está activa, genera el código de acceso único (OTP) y lo encripta con la clave pública del cliente. Luego, el usuario ingresa su nombre de usuario y la OTP en cualquier servicio que esté utilizando, por ejemplo, una VPN, que lo reenvía al servidor WiKID para su validación ".

2
Tate Hansen

Para implementaciones básicas de OTP, he estado mirando AuthAnvil (http://www.scorpionsoft.com/) últimamente. Funciona para Windows y puede vincularse a IIS muy fácilmente.

Sin embargo, estoy bastante seguro de que no admite ninguna versión de Linux.

1
Steve