ワンタイムパスワード。 Windows、Ubuntu、インターネットサイトでのOTPの使用

Question

私の質問はこれです：

次のシナリオでワンタイムパスワードを使用する方法（ソフトウェア、ハードウェア/トークン、またはWebウェア）はありますか？

私のPC /ラップトップ（WindowsまたはUbuntu）にログオンする
OTPを使用してサイトにログオンします（OTPをすぐに使用できるサポートはありませんが、ATPIKにはありません）。

OTPソリューションを使用していますか？これまでの経験？フリーウェア/オープンソースと商用（有料）ソリューションの両方に興味があります。前もって感謝します！！

nowen · Accepted Answer

言及してくれてありがとう、テート。これは素晴らしい質問です。私はそれを「どうすればより強力な認証形式に移行し始めることができるのか」と解釈します。この質問には多くの部分といくつかの良い答えがあります。いくつかは...まだより良い答えを待っています。

背景：

プロトコル：Radius、LDAP、SAML、OATH。 Radiusは内部での使用に最適であり（ldapは認証、IMOよりもディレクトリプロトコルに近いものです）、最後の2つは外部/インターネット認証用に設計されています。内部プロトコルを選択してから、外部メソッドを選択します。この方法で自分自身を制限することは、それを清潔に保ち、あなたが学ぶのを助けます。

まず、ubuntu：それは簡単です。プラグイン可能な認証モジュールであるPAMについて少し学ぶだけです。 PAMは一連のプロトコルをサポートしています。プロトコル用のライブラリをビルドしてから、/ etc/pam.d /内のサービスファイルを編集します。つまり、sshd、login、su、Sudoなど。 SSHに2要素認証を追加する方法に関するドキュメントは次のとおりです。 http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-secure-ssh-with- two-factor-authentication-from-wikid / 。ログインについても同じようにしてください。注意点の1つ：入る方法を残す！ロックアウトされたくない。これが、ほとんどの企業がリモートアクセスのみを考慮し、ローカルアクセスを考慮しない理由の1つです。

Windowsログイン：これは、WindowsログインまたはGINAを変更することを意味します。これもあなた自身の責任で行ってください。オープンソースのpginaプロジェクトを調べてください。私は昔、windows XPでradiusを使用してWiKIDでこれをテストしましたが、うまくいきました。しかし、ロックアウトのリスクと潜在的なサポートコストのため、これを実装したお客様はいません。

ウェブサイト：「ログインクレデンシャル」を「アカウント」から分離し、他の誰かに前者を処理させれば、後者がより多くのものを手に入れることができるようになるという企業がますます増えています。やったーただし、すべての認証パーティが2要素認証を実行しているわけではありません。 Googleだけです。ただし、すべてのログインを知っているGoogleに慣れていない可能性があります。また、制御して他のサービスにも使用できるサーバーが必要な場合もあります。

その場合、オープンソースバージョンには、Google Domains用のGoogleSSOのプラグインが含まれています。 http://www.wikidsystems.com/support/wikid-support-center/how-to/how-to-wikid-strong -authentication-to-google-apps-for-your-domain / 。

幸運を！ HTH、

nealmcb · Answer

OPIE Authentication System （ "Onetime Passwords In Everything"）は、ほとんどすべてのBSD/Linux/Unixシステムで機能します。 Ubuntuでのopie-serverおよびopie-clientパッケージ。それは例えば使用することができます。 PAM認証またはWebサーバー用。（少なくとも）WindowsとMacOS用のクライアントもあります。

サイトが何らかのフェデレーション認証（OAuth、OpenID、Shibboleth、SAMLなど）の「依存パーティ」である場合、OTPを1回使用して、それをサポートするIDプロバイダーにログインし、基本的に1回限りの資格情報を使用できます。それらからサイトにログインします。

Justin Clarke · Answer

サイトがOAUTHをサポートしている場合は、2番目の問題の手ごろな価格の代替手段としてYubikey（http://www.yubico.com/yubikey）を試すことができます。これは、USBキーボードとして実装されているAESカウンターをキーとするOTPソリューションです（ドライバーはほとんど必要ありません）。

Rory Alsop · Answer

これは、ユビキタスRSAキーフォブなどのトークンが機能する方法です。生成される数値は実質的にワンタイムパスワードです（そうではありませんが、エントロピーのレベルは、ほとんどの目的でワンタイムパスワードとして使用できることを意味します）。

WindowsとLinux、およびその他のさまざまなセットアップで動作します。

多くのWebアプリケーションはそれを使用しますが、OTPソリューションの場合と同様に、提供するパスワードとサイト/アプリケーションが予期するパスワードとの調整が必要なため、サポートする必要があります。

Tate Hansen · Answer

チェックアウトすることもできます http://www.wikidsystems.com/

WiKIDの強力な認証システムは、ハードウェアトークンよりも安価で拡張性が高くなるように設計された、特許取得済みのデュアルソースのソフトウェアベースの2要素認証システムです。

「基本的に、WiKIDの強力な認証はこのように機能します。ユーザーは使用したいドメインを選択し、PINをWiKIDの2要素クライアントに入力します。これはWiKIDサーバーの公開鍵で暗号化されます-そのサーバーのみがその秘密鍵でそれを復号化できることを保証します。サーバーがPINを復号化でき、それが正しくアカウントがアクティブである場合、サーバーはワンタイムパスコード（OTP）それをクライアントの公開鍵で暗号化します。次に、ユーザーは自分のユーザー名とOTPを、使用しているサービス（VPNなど）に入力して、検証のためにそれをWiKIDサーバーに転送します。」

Steve · Answer

基本的なOTP実装については、最近AuthAnvil（http://www.scorpionsoft.com/）を検討しています。これはWindowsで動作し、IISに非常に簡単に結び付けることができます。

ただし、Linuxバリアントはサポートされていません。