mi pregunta es esta:
¿Hay alguna forma (software, hardware / token o web-ware) para usar las contraseñas de un solo uso en los siguientes escenarios:
¿Utiliza alguna solución OTP? ¿Experiencias hasta ahora? Me interesan las soluciones freeware / opensource y comerciales (de pago). ¡Gracias de antemano!
Gracias por la mención, Tate. Esta es una gran pregunta. Lo interpreto como "cómo puedo comenzar a avanzar hacia formas más sólidas de autenticación". Hay muchas partes en esta pregunta y algunas buenas respuestas, algunas ... aún esperando mejores respuestas.
Algunos antecedentes:
Protocolos: Radio, LDAP, SAML, OATH. Radius es ideal para uso interno (ldap es más un protocolo de directorio que una autenticación, OMI) y los dos últimos están diseñados para la autenticación externa / de Internet. Elija un protocolo interno y luego un método externo. Limitarte de esta manera lo mantienes limpio y te ayuda a aprender.
Primero, ubuntu: eso es fácil. solo necesita aprender un poco sobre PAM, el módulo de autenticación conectable. PAM soporta un montón de protocolos. Cree la biblioteca para su protocolo y luego edite los archivos de servicios en /etc/pam.d/. Entonces, sshd, login, su, sudo, lo que sea. Aquí hay un documento sobre cómo agregar autenticación de dos factores a SSH: enlace . Solo haz lo mismo para iniciar sesión, y deberías ser bueno. Una advertencia: ¡deja una manera de entrar! Usted no quiere ser bloqueado. Esta es una de las razones por las que la mayoría de las empresas solo se preocupan por el acceso remoto y no por el acceso local.
Inicio de sesión de Windows: Esto significa cambiar el inicio de sesión de Windows o GINA. Haz esto bajo tu propio riesgo también. Echa un vistazo al proyecto opensource pgina. Probé esto con WiKID usando el radio en Windows XP hace mucho tiempo y funcionó muy bien. Pero ninguno de nuestros clientes implementó esto debido al riesgo de bloqueo y los posibles costos de soporte.
Sitios web: cada vez más empresas están separando "credenciales de inicio de sesión" de "cuentas" y observan que pueden obtener más de lo último si dejan que alguien más se encargue de lo primero. ¡Hurra! Sin embargo, no todas las partes autenticadoras están haciendo autenticación de dos factores. Google es el único. Sin embargo, es posible que no se sienta cómodo con Google sabiendo cada uno de sus inicios de sesión y que desee un servidor que pueda controlar y utilizar para otros servicios también.
Si es así, nuestra versión de código abierto incluye un complemento para GoogleSSO para Google Domains: enlace .
¡Buena suerte! HTH,
Sistema de autenticación OPIE ("One Password Passwords In Everything") funciona en la mayoría de los sistemas BSD / Linux / Unix. p.ej paquetes opie-server y opie-client en Ubuntu. Se puede utilizar, por ejemplo. En autenticación PAM o para servidores web. También hay clientes (al menos) para Windows y MacOS.
Si un sitio es una "parte dependiente" para algún tipo de autenticación federada (por ejemplo, OAuth, OpenID, Shibboleth, SAML), puede usar OTP una vez para iniciar sesión en un proveedor de identidad que lo admita, y usar esencialmente uno. credenciales de tiempo de ellos para iniciar sesión en el sitio.
Puede probar un Yubikey (http://www.yubico.com/yubikey) como una alternativa a un precio razonable para el segundo de sus problemas, siempre que el sitio sea compatible con OAUTH. Esta es una solución OTP, desactivada en un contador AES, que se implementa como un teclado USB (por lo que rara vez se necesitan controladores).
Así es como funcionan los tokens, como el omnipresente llavero RSA. El número generado es efectivamente una contraseña de un solo uso (bueno, en realidad no lo es, pero el nivel de entropía significa que, para la mayoría de los propósitos, puede usarlo como una contraseña de un solo uso)
Funciona con Windows y Linux y varias otras configuraciones.
Muchas aplicaciones web lo utilizan, pero tienen que tener soporte para ello, como para cualquier solución OTP que necesite para tener una coordinación entre la contraseña que proporcione y la que el sitio / aplicación espera.
También puede consultar enlace
El sistema de autenticación fuerte WiKID es un sistema de autenticación de doble factor basado en software de doble fuente patentado, diseñado para ser menos costoso y más extensible que los tokens de hardware.
"Fundamentalmente, la autenticación fuerte de WiKID funciona de esta manera: un usuario selecciona el dominio que desea usar e ingresa el PIN en su cliente de dos factores WiKID. Está cifrado con la clave pública del servidor de WiKID, asegurando que solo ese servidor pueda descifrarlo con su clave privada. Si el servidor puede descifrar el PIN y es correcto y la cuenta está activa, genera el código de acceso único (OTP) y lo cifra con la clave pública del cliente. El usuario ingresa su nombre de usuario y la OTP a cualquier servicio que estén utilizando, una VPN, por ejemplo, que la reenvía al servidor WiKID para su validación ".
Para implementaciones básicas de OTP he estado buscando en AuthAnvil (http://www.scorpionsoft.com/) últimamente. Funciona para Windows y puede conectarse a IIS con mucha facilidad.
Sin embargo, estoy bastante seguro de que no admite ninguna variante de Linux.
Lea otras preguntas en las etiquetas passwords authentication