it-swarm-korea.com

일회용 비밀번호. Windows, Ubuntu 및 인터넷 사이트에서 OTP 사용

내 질문은 이것입니다 :

다음 시나리오에서 일회용 암호를 사용하는 방법 (소프트웨어, 하드웨어/토큰 또는 웹웨어)이 있습니까?

  • 내 PC/노트북 (Windows 또는 우분투)에 로그온
  • OTP를 사용하여 사이트에 로그온합니다 (AFAIK가 아닌 OTP를 기본적으로 지원하지 않음).

OTP 솔루션을 사용하십니까? 지금까지 경험? 프리웨어/오픈 소스 및 상업용 (유료) 솔루션 모두에 관심이 있습니다. 미리 감사드립니다!

10
labmice

언급 해 주셔서 감사합니다, 테이트 이것은 좋은 질문입니다. "강한 형태의 인증으로 나아가려면 어떻게해야합니까?" 이 질문에는 많은 부분과 좋은 답변이 있으며, 일부는 여전히 더 나은 답변을 기다리고 있습니다.

일부 배경 :

프로토콜 : Radius, LDAP, SAML, OATH. Radius는 내부 용으로 적합하며 (ldap은 인증, IMO보다 디렉토리 프로토콜에 더 가깝습니다) 마지막 두 가지는 외부/인터넷 인증을 위해 설계되었습니다. 내부 프로토콜과 외부 방법을 선택하십시오. 이런 식으로 자신을 제한하면 깨끗하게 유지되고 배우는 데 도움이됩니다.

첫째, 우분투 : 쉽습니다. 플러그 형 인증 모듈 인 PAM에 대해 조금만 배워야합니다. PAM은 많은 프로토콜을 지원합니다. 프로토콜 라이브러리를 빌드 한 다음 /etc/pam.d/에서 서비스 파일을 편집하십시오. 그래서 sshd, login, su, Sudo 등 무엇이든. SSH에 이중 인증을 추가하는 방법에 대한 문서는 다음과 같습니다. http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with- 2 단계 인증-위키 / . 로그인도 똑같이하면 좋을 것입니다. 하나의 경고 : 들어가는 길을 떠나십시오! 당신은 잠겨 싶지 않아요. 이것이 대부분의 회사가 로컬 액세스가 아닌 원격 액세스에 대해서만 걱정하는 이유 중 하나입니다.

Windows 로그인 : Windows 로그인 또는 GINA 변경을 의미합니다. 자신의 위험도 감수해야합니다. 오픈 소스 pgina 프로젝트를 확인하십시오. 오래 전에 Windows XP에서 반경을 사용하여 WiKID로 이것을 테스트했으며 훌륭하게 작동했습니다. 그러나 우리 고객 중 누구도 잠금 및 잠재적 지원 비용으로 인해이를 구현하지 않았습니다.

웹 사이트 : 점점 더 많은 회사들이 "계정"에서 "로그인 자격 증명"을 분리하고 있으며 다른 사람이 다른 사람이 전자 메일을 처리하게함으로써 더 많은 정보를 얻을 수 있음을보고 있습니다. 만세. 그러나 모든 인증 당사자가 2 단계 인증을 수행하는 것은 아닙니다. 구글이 유일합니다. 로그인 할 때마다 Google에 익숙하지 않을 수도 있지만 다른 서비스에서도 제어하고 사용할 수있는 서버를 원할 수도 있습니다.

그렇다면 오픈 소스 버전에는 Google 도메인 용 GoogleSSO 용 플러그인이 포함되어 있습니다. http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-wikid-strong -authentication-to-google-apps-for-your-domain / .

행운을 빕니다! HTH,

4
nowen

OPIE 인증 시스템 ( "일회용 비밀번호")는 대부분의 모든 BSD/Linux/Unix 시스템에서 작동합니다. 우분투의 opie-server 및 opie-client 패키지. 예를 들어 사용할 수 있습니다. PAM 인증 또는 웹 서버용. Windows 및 MacOS 용 클라이언트도 있습니다 (적어도).

사이트가 일종의 페더레이션 인증 (예 : OAuth, OpenID, Shibboleth, SAML)에 대한 "신뢰 당사자"인 경우 OTP를 한 번 사용하여 해당 사이트를 지원하는 자격 증명 공급자에 로그인하고 본질적으로 일회용 자격 증명을 사용할 수 있습니다 그들로부터 사이트에 로그인합니다.

4
nealmcb

사이트가 OAUTH를 지원하는 경우 Yubikey (http://www.yubico.com/yubikey)를 두 번째 문제에 대한 합리적인 가격의 대안으로 사용해 볼 수 있습니다. 이것은 AES 카운터를 사용하여 OTP 솔루션으로, USB 키보드로 구현되므로 드라이버가 거의 필요하지 않습니다.

3
Justin Clarke

유비쿼터스 RSA 키 포브와 같은 토큰이 작동하는 방식입니다. 생성 된 숫자는 사실상 일회용 암호입니다. (실제로 그렇지는 않지만 엔트로피 수준은 대부분의 경우 일회용 암호로 사용할 수 있음을 의미합니다)

Windows 및 Linux 및 기타 다양한 설정에서 작동합니다.

많은 웹 응용 프로그램에서 사용하지만 OTP 솔루션의 경우 제공하는 암호와 사이트/응용 프로그램이 예상하는 암호를 조정해야하는 경우와 같이 지원해야합니다.

2
Rory Alsop

http://www.wikidsystems.com/

WiKID 강력한 인증 시스템은 특허받은 이중 소스 소프트웨어 기반 2 단계 인증 시스템으로 하드웨어 토큰보다 저렴하고 확장 성이 뛰어납니다.

"기본적으로 WiKID 강력한 인증은 다음과 같은 방식으로 작동합니다. 사용자가 사용할 도메인을 선택하고 PIN을 WiKID 2 단계 클라이언트에 입력합니다. WiKID 서버의 공개 키로 암호화됩니다.- 해당 서버 만 개인 키로 서버를 해독 할 수 있는지 확인 서버가 PIN 암호를 해독 할 수 있고 계정이 활성화되어 있고 계정이 활성화 된 경우 OTP (일회성 암호) 및 그런 다음 사용자는 사용중인 모든 서비스에 VPN과 같은 사용자 이름과 OTP를 입력하여 유효성 검사를 위해 WiKID 서버로 전달합니다. "

2
Tate Hansen

기본적인 OTP 구현을 위해 최근에 AuthAnvil (http://www.scorpionsoft.com/)을 살펴 보았습니다. Windows에서 작동하며 IIS 매우 쉽게 묶을 수 있습니다.

그러나 Linux 변형을 지원하지 않는다고 확신합니다.

1
Steve