Your SlideShare is downloading. ×
0
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×
Saving this for later? Get the SlideShare app to save on your phone or tablet. Read anywhere, anytime – even offline.
Text the download link to your phone
Standard text messaging rates apply

ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti

716

Published on

Published in: Technology
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
716
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
9
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Un serveur d'authentification forte pour $35! Application Security Forum – Western Switzerland 2013 (16.10.2013) André Liechti Dernière mise à jour: 31.10.2013 Un serveur d'authentification forte pour $35! ASFWS 2013 www.multiOTP.net
  • 2. Un serveur d’authentification forte en 10 slides! Naissance du projet  Conception de la librairie multiOTP  Tokens supportés  Déploiement des tokens à large échelle  Choix de la plateforme matérielle  Mise en place du serveur d’authentification  Vue d’ensemble d’une utilisation  Intégration dans d’autres produits  Roadmap pour les prochaines versions  Séance de questions / réponses  Un serveur d'authentification forte pour $35! ASFWS 2013 2
  • 3. Naissance du projet 2009 PoC en PHP pour le protocole Mobile-OTP  2010 Création d’une classe et support de TOTP/HOTP  2011 Atelier pratique lors de l’ASFWS 2011  2012 Déploiement plus large et retours des utilisateurs  2013 Ajout de nouvelles fonctionnalités – Envoi de tokens par SMS – Génération de listes à biffer – Provisioning par Qrcode / URL – Utilisation client/serveur avec cache local – Possibilité de stockage dans une base de données (MySQL)  Un serveur d'authentification forte pour $35! ASFWS 2013 3
  • 4. Conception de la librairie multiOTP  Implémentation « légère » sous la forme d’une classe en PHP  Au final, la librairie tient dans un seul fichier agrégé (~ 10’000 lignes)  Outil en ligne de commande implémentant la librairie  Stockage dans des fichiers plats Un serveur d'authentification forte pour $35! ASFWS 2013 4
  • 5. Tokens supportés  Mobile-OTP (motp.sourceforge.net) – Time based, saisie du code PIN sur le device – Android, iOS, Windows Mobile, Palm, Maemo, HTML5, Java, etc.  HOTP (HMAC-based One-time Password Algorithm)  TOTP (Time-based One-time Password Algorithm)  SMS, scratch passwords list – RFC 4226 – RFC 6238 Un serveur d'authentification forte pour $35! ASFWS 2013 5
  • 6. Déploiement des tokens à large échelle  Provisioning par Qrcode Un serveur d'authentification forte pour $35! ASFWS 2013 6
  • 7. Choix de la plateforme matérielle  Raspberry Pi – Bon marché – Pas de licence d’OS (Debian Linux) – Facilement disponible – Supporté par une large communauté – Alimentation via microUSB – CPU 700 MHz (ARM) – RAM 512 MB Un serveur d'authentification forte pour $35! ASFWS 2013 7
  • 8. Mise en place du serveur d’authentification  Installation de Debian Wheezy – Image existante chez Raspberry Pi  Installation des packages minimaux  Installation de la librairie multiOTP – FreeRADIUS – Nginx (serveur web) – PHP – Suivre simplement les instructions du fichier readme ;-) Un serveur d'authentification forte pour $35! ASFWS 2013 8
  • 9. Vue d’ensemble d’une utilisation Un serveur d'authentification forte pour $35! ASFWS 2013 9
  • 10. Intégration dans d’autres produits  MultiOneTimePassword Credential Provider, authentification forte pour Windows  One Time Password Backend pour ownCloud  PoC phpMyAdmin avec authentification forte  Authentification forte pour un Extranet  … Un serveur d'authentification forte pour $35! ASFWS 2013 10
  • 11. Roadmap pour les prochaines versions  Décembre 2013 – Prêt pour la certification OATH (Initiative For Open Authentication) – Lien avec un serveur centralisé LDAP / ActiveDirectory – Support des fichiers de provisioning PSKC v12 (encryptés) – Attribution automatique de tokens hardware – Resynchronisation automatique des tokens – Importation d’utilisateurs en fichiers CSV – Interface web basique pour la gestion Un serveur d'authentification forte pour $35! ASFWS 2013 11
  • 12. Des questions ? Un serveur d'authentification forte pour $35! ASFWS 2013 12

×