¿Cuáles son las formas de implementar la autenticación de dos factores?

Question

¿Cuáles son las formas de implementar la autenticación de dos factores?

#1 de dawud (3 votos)
#2 de AJ Henderson (2 votos)
#3 de Saladin (0 votos)
#4 de Diego (0 votos)
#5 de nowen (0 votos)

10

Tenemos dispositivos que pueden generar tokens. Así que podemos usar tokens con contraseñas para realizar la autenticación de dos factores. Hay muchas formas de implementar dichos sistemas para mejorar la seguridad. Uno de los dos que conozco es modificar el cliente open-ssh y otro es desarrollar un módulo PAM (módulo de autenticación conectable).

¿Hay otras formas? ¿Cuál es el mejor método considerando la implementación fácil (nota: la complejidad del desarrollo no es una preocupación)? La autenticación será utilizada principalmente por el demonio ssh del servidor para autenticar a los usuarios para iniciar sesión.

authentication ssh multi-factor

pregunta Atiq Rahman 15.04.2013 - 08:08

fuente

5 respuestas

Lea otras preguntas en las etiquetas authentication ssh multi-factor

Cifrado AES en un dispositivo integrado: ¿puede ser seguro? Paradoja de seguimiento de solicitud de eliminación GDPR - Listas de supresión

score 3 · Answer 1

Estoy usando IPA (LDAP, Kerberos, SSSD) desde las primeras versiones 2.x y no podría estar más contento. Con respecto a 2FA y OpenSSH, aquí está el fragmento relevante de mi sshd_config:

AllowGroups ipausers
GSSAPIAuthentication yes
PasswordAuthentication no
PubkeyAuthentication yes
RequiredAuthentications2 publickey,gssapi-with-mic

A partir de OpenSSH-6.2, el parche de Red Hat que implementó RequiredAuthentications2 se ha incluido en sentido ascendente o superado:

sshd (8): Se agregó soporte para la autenticación requerida múltiple en SSH   protocolo 2 a través de una opción AuthenticationMethods. Esta opción enumera   una o más listas separadas por comas de nombres de métodos de autenticación.   Se requiere completar con éxito todos los métodos en cualquier lista para   autenticación para completar. Esto permite, por ejemplo, requerir una   el usuario tiene que autenticarse mediante una clave pública o GSSAPI antes de   Se ofrece autenticación de contraseña.

score 2 · Answer 2

Personalmente, siempre he sido un gran fan de usar RADIUS para admitir la autenticación de dos factores. No estoy seguro de qué marca de tokens tiene, pero creo que los RSA se integran bastante bien con RADIUS, aunque personalmente no he configurado un sistema así antes. Es un estándar establecido que también debería integrarse fácilmente con cualquier servidor SSH serio.

score 0 · Answer 3

Hablando tradicionalmente, hay 3 formas de autenticación

Algo que sabes
algo que tienes
Algo que eres (características físicas)

Entonces, si tiene un dispositivo de sincronización de token, asumo que estamos hablando de (2), ya que cuando inicio sesión en el servidor ssh modificado, me envía una frase de contraseña que ingrese en mi dispositivo de mano / dispositivo de token que se sincroniza con el servidor central y me trae un OTP. Ingresé esto con mi contraseña original para iniciar sesión.

La complejidad que veo al modificar ssh para autenticar al usuario en dos niveles y luego garantizar que no existan condiciones de carrera.

score 0 · Answer 4

Hay muchas opciones para asegurar el acceso SSH a sus sistemas. Elegir algo que se basa en un protocolo y marco de seguridad estándar facilitará su administración y expansión.

PAM es una buena opción. Echa un vistazo a nuestro servicio, LoginTC. Es gratis para probar / usar.

Autenticación de dos factores con PAM: enlace .

score 0 · Answer 5

Recomiendo altamente usar un protocolo de autenticación de red estándar, especialmente radio. Usando el radio, puede integrar su directorio si usa ldap o AD, y aún puede enviar una solicitud de autenticación a un servidor de autenticación de dos factores de terceros. Puede ver cómo hacer esto con freeradius / openldap aquí: enlace (o en NPS: enlace ).

Si desea ver cómo configurar la autenticación de dos factores desde PAM, Apache, etc., a través del radio al directorio y en un servidor de terceros, consulte la Guía electrónica para la autenticación de dos factores en esta página: enlace (sin registro).