Címlap

Mobil One Time Password Linux PAM rendszerhez

 ( szimszon | 2012. február 1., szerda - 10:23 )

A minap akadtam rá a Mobile-OTP oldalra, ami leginkább - de nem kizárólag - a mobiltelefonra telepíthető klienssel való jelszógenerálásról szól.

A lényeg dióhéjban:

  • van egy 16 karakteres véletlenszerű betű-szám sor, ezt meg kell adni a kliensnek és a szervernek
  • a 4 jegyű PIN-t a szervernek kell ismernie és a felhasználónak
  • majd a rendszer veszi a UNIX epoch-tól számított időt másodpercben (10-es osztással)
  • a 16 karakterből, 4 jegyű PIN-ből és az időből képez a rendszer egy md5 hash-t
  • ennek a hash-nek az első 6 jegye lesz a belépő kód
  • a szerveren van egy ±3 perces ablak, amire ellenőrzi a klienstől kapott felhasználó által begépelt 6 karaktert. Érdemes az eszközök óráját szinkronban tartani
  • sikeres bejelentkezés esetén a szerver az aktuálisan megadott belépő kódot elmenti, ettől lesz one-time, és még egyszer nem lehet ezt használni

Nekem sikerült pam_exec-kel működésre bírni az oldalról letölthető scriptet, kisebb módosítással. A weboldalon lévő pam modult nem sikerült lefordítani Ubuntun, a pam_script megoldás esetlegesen működött.

A script a pam konfigokkal, bővebb leírással itt.

 »
  • A hozzászóláshoz belépés szükséges
  • 2061 olvasás

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.
 ( bazso | 2012. február 1., szerda - 10:40 )

Versenytárs:
http://code.google.com/p/google-authenticator/wiki/PamModuleInstructions

 ( cvk | 2012. február 1., szerda - 12:18 )

Ehhez tartozó leírás:
http://cvk.hu/2011/07/21/ketlepcsos-azonositas-hasznalata-a-google-authentikator-segitsegevel-azaz-ssh-belepes-telefonnal-debian-ubuntu-n/
________________
Intel(R) Core(TM)2 Quad CPU Q6600 @ 2.40GHz, 4 Gb ram, x86_64 3.2.1-gentoo

 ( nevergone | 2012. február 3., péntek - 19:49 )

Az megoldható, hogy egy adott host kivételével mindig kérje ezt? Mert akkor lenne egy olyan pont, ahonnan be tudok menni vész esetén, ha nincs nálam a telefon,

-----
"Egy jó kapcsolatban a társunkat az ő dolgában kell támogatni, nem a miénkben."
rand() a lelke mindennek! :)

 ( zeller | 2012. február 3., péntek - 20:02 )

Ilyenre én az OPIE-t használom, a vejotp a mobilon, illetve néhány jelszókupac elérhető helyen tárolva, némi szteganográfiával megspékelve.

 ( numen | 2012. február 3., péntek - 20:02 )

Esetleg „required” helyett „sufficient”-ként állítod be, és beállítasz utána valami alternatív autentikációs módszert. Ekkor nincs más dolgod, mint rossz kódot beírni, és akkor ugrik a következőre. Gondolom, lehet még bonyolítani.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

 ( numen | 2012. február 1., szerda - 15:22 )

Arról nem is beszélve, hogy ahogy elnézem, van csomagolva is.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

 ( jupiter2005ster | 2012. február 1., szerda - 11:20 )

+1
--
A legértékesebb idő a pillanat amelyben élsz.
http://phoenix-art.hanzo.hu/
https://sites.google.com/site/jupiter2005ster/

 ( Elbandi | 2012. február 1., szerda - 11:30 )

ubuntu lucid alatt siman fordul a nativ pam modul.

--
A vegtelen ciklus is vegeter egyszer, csak kelloen eros hardver kell hozza!

 ( numen | 2012. február 1., szerda - 12:08 )

Kéne valami olyan, ami fejben kiszámolható: a gép megadja a függvény bemenetét, mi ebből kiszámoljuk fejben a visszatérési értéket, az a jelszó. Már volt abból problémám, hogy le volt merülve a mobilom, amikor e-mailt/fácsét akartam nézni… :-)

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

 ( Csab | 2012. február 1., szerda - 23:17 )

Mondjuk atan(0.47)?

Egyik egyetemi tanárnőm nem használt számológépet, 2 tizedesig fejben nyomta a végeredményt.

Ismerte a taylor sort, fejben osztott, szorzott és mondta a megoldást. Azóta is talány nekem, hogy hogyan tud valaki fejben 2 tizedesig exponenciális és trigonometrikus függvényeket számolni.

Kezdetben hitetlenkedtünk, hogy blöfföl és előre megtanulta, de mikor mi kérdeztünk, az is ment neki.

 ( numen | 2012. február 2., csütörtök - 1:04 )

Nem vagyok otthon a hashelésben, de gondolom az atan()-nál egyszerűbbek is vannak… :-) – Persze ahhoz elég erős brute force-védelem kell, mert mintha több hashfüggvénnyel pont az lenne a probléma, hogy túl gyorsan kiszámolható.

int getRandomNumber() { return 4; }  // ← aláírás
//szabályos kockadobással választva. garantáltan véletlenszerű.  xkcd

 ( Csab | 2012. február 8., szerda - 13:34 )

Fejben számolásról volt szó, erről jutott eszembe egyik tanárom.

Hasonló, mint mikor mindenféle szám/betű krikszkrakszokat kirak az oldal a képernyőre és neked be kell írnod ugyanazt.

Képzeld el csavargatott betűkkel leírva mondjuk, hogy "árkúsz tángens nullaegísz negyvenhít".
Neked meg be kell írni 2 tizedesig a megoldást.

:)

 ( hnsz2002 | 2012. február 2., csütörtök - 12:43 )

Autista :)
--
Discover It - Have a lot of fun!

 ( bounty | 2012. február 1., szerda - 12:50 )

Ezt mi jó régóta használjuk, az exchange owa elé tett apache reverse proxy-ra tettük plusz hitelesítésnek, nagyon jól működik. Probléma csak a userek miatt van, amikor kézzel állítgatják a telefonjukon az időt óraátállításkor.

Előnye, hogy szinte minden létező eszközre van program, a java verzió miatt. Amíg nem volt natív androidos kliens, a midlet azon is beizzítható volt, még az összes szutyok 15 éves nokián is.

 ( kaktusztea | 2012. február 1., szerda - 13:59 )

sub

 ( W3ber | 2012. február 1., szerda - 16:15 )

+1

 ( zeller | 2012. február 2., csütörtök - 10:58 )

bikmakk, izé, bookmark :)

 ( szimszon | 2012. február 7., kedd - 23:27 )

Készítettem egy kis kibővített moduláris python scriptet PAM-hoz. A felhasználó magának tudja állítani az adatait. A script itt.