0

私はかなりリモートでアクセスするホーム ネットワークを持っています。でも治安が心配。私は強力なパスワードを使用していますが、誰かが私のパスワードを取得し、それを使用してアクセスするのではないかと心配しています.

「ワンタイムパスワード」の存在を知り、大学でも使うようになりました。デバイスのボタンを押す (または電話でアプリケーションを実行する) だけで、次の 1 分間ほど有効なパスワードが生成されます。

  • どうすればそのようなものを設定できますか?
  • 使いやすくセットアップが簡単なシステムはありますか?
  • これらのシステムのいずれかの SDK で遊んだ人はいますか?
  • スターターキットはどこから入手できますか?

編集: Linux と Windows が混在するネットワークを実行していますが、これを両方のオペレーティング システムでの認証に使用することを漠然と望んでいます。(いいえ、ドメイン コントローラーはありませんが、Samba を使用して設定できると思います。)

4

5 に答える 5

3

S/Key は、低コストの OTP 実装に適しています。ただし、それについて本当に心配している場合は、セッションが開始された後にセッションがハイジャックされることも心配してください。その場合、SSH トンネルを使用してトラフィックを暗号化することを検討してください。また、SSH は、アクセスを設定すると、それを介して他のアプリケーションをトンネリングするのにも適しています。最後に、SSH クライアントを持ち運ぶ簡単な方法がない場合 (または、他の人の SSH クライアントを信頼しない場合) は、自分のサーバーから提供できる Web ベースの SSH クライアントがいくつかあります。したがって、それはあなたの管理下にありますが、どのブラウザーからでも利用できます。

于 2009-02-12T18:34:13.997 に答える
2

Linux では S/Key と呼ばれます:こちら

ボタンのギズモではありませんが、それをシードして、持ち歩くワンタイム パスワードのリストを印刷します。混合envで動作させるには、Windowsボックスで動作させてからLinuxボックスを認証するか、(より簡単に)Linuxで動作させてからSambaにリンクして、Windowsが認証できるようにする必要があります。

グーグルはあなたの友達です。

于 2009-02-12T06:25:03.297 に答える
0

最初に決定する必要があるのは、どの認証プロトコルを標準にするかです。特に企業での 2 要素認証には、Radius をお勧めします。Radius は、すべての主要な VPN およびネットワーク プロバイダーと、すべての主要な 2FA プロバイダーによってサポートされています。

次に、保護するサービスを検討します。Linux の場合、これは通常 PAM を意味します。幸いなことに、pam 経由で Linux に 2FA を追加するのはかなり簡単です: http://www.wikidsystems.com/support/wikid-support-center/how-to/pam-radius-how-to/。Windows サービスの場合は、ISA または VPN 経由でルーティングする必要があります。

MS radius プラグイン IAS/NPS を使用して、すべての radius リクエストが AD を通過するように構成できます。 http://www.networkworld.com/news/2010/050710-two-factor-authentication-through-windows-server.html?source=nww_rss

最後に、2FA ソリューションを選択するときは、radius がサポートされていることを確認してください。

SDK については、ベンダーごとの状況です。私たちへのリンクは次のとおりです: http://www.wikidsystems.com/downloads/network-clients

hth、ニック

于 2010-07-22T15:08:51.970 に答える
0

1 つのアプローチは次のようになります。

特定の時間枠でのみホーム システムで受け入れられるパスワードを生成するプログラムを作成する必要があります。

たとえば。プログラムを実行すると、出力は特定の期間有効になり、システムがハッシュの照合中に同じ出力を生成するため、ホーム セキュリティ システムによって受け入れられます。秘訣は、両方の場所で同じハッシュを取得することです。 .

これにはもっとブレインストーミングが必要だと思います!!!!

于 2009-02-12T06:11:41.863 に答える
0

renegadeMind の投稿への補足として、これを行う 1 つの方法は、一連の乱数を生成するプログラムを両端に配置することです。疑似乱数ジェネレーター (PRNG) の特性は、同じシードで開始すると、同じ乱数シーケンスを生成し続けることです。したがって、経験 (または技術の可用性) に応じて、x 分ごとに新しいパスワードを生成するようにネットワークを設定できます。次に、電話またはその他の組み込みハードウェアで実行され、PRNG が実行されているシーケンスのステップを計算し、現在のパスワードを一覧表示するソフトウェアを持ち歩くことができます。

システムのセキュリティは、選択したシードと、各キーが有効であることを選択した時間に制限されると述べました。

これに加えて、これを行うソフトウェア ソリューションがおそらくあります。私見は、既存の実装を利用してから車輪を再発明する方が良いでしょう。

編集: ウィキペディアには良い記事があります ここ. 特定の OTP テクノロジに関する部分は、おそらく最も関連性があります。

でも頑張ってください!

PRNG に関するウィキ記事

于 2009-02-12T06:32:52.293 に答える