ASFWS 2013 Un serveur d'authentification forte pour $35! Un serveur d'authentification forte pour $35! Application Security Forum – Western Switzerland 2013 (16.10.2013) André Liechti Dernière mise à jour: 31.10.2013 www.multiOTP.net
May 19, 2015
ASFWS 2013
Un serveur d'authentification forte pour $35!
Un serveur d'authentification
forte pour $35!
Application Security Forum – Western Switzerland 2013
(16.10.2013)
André Liechti
Dernière mise à jour: 31.10.2013 www.multiOTP.net
ASFWS 2013
2 Un serveur d'authentification forte pour $35!
Naissance du projet
Conception de la librairie multiOTP
Tokens supportés
Déploiement des tokens à large échelle
Choix de la plateforme matérielle
Mise en place du serveur d’authentification
Vue d’ensemble d’une utilisation
Intégration dans d’autres produits
Roadmap pour les prochaines versions
Séance de questions / réponses
Un serveur d’authentification forte en 10 slides!
ASFWS 2013
3 Un serveur d'authentification forte pour $35!
2009 PoC en PHP pour le protocole Mobile-OTP
2010 Création d’une classe et support de TOTP/HOTP
2011 Atelier pratique lors de l’ASFWS 2011
2012 Déploiement plus large et retours des utilisateurs
2013 Ajout de nouvelles fonctionnalités – Envoi de tokens par SMS
– Génération de listes à biffer
– Provisioning par Qrcode / URL
– Utilisation client/serveur avec cache local
– Possibilité de stockage dans une base de données (MySQL)
Naissance du projet
ASFWS 2013
4 Un serveur d'authentification forte pour $35!
Implémentation « légère »
sous la forme d’une classe en PHP
Au final, la librairie tient dans un seul fichier agrégé
(~ 10’000 lignes)
Outil en ligne de commande implémentant la librairie
Stockage dans des fichiers plats
Conception de la librairie multiOTP
ASFWS 2013
5 Un serveur d'authentification forte pour $35!
Mobile-OTP (motp.sourceforge.net) – Time based, saisie du code PIN sur le device
– Android, iOS, Windows Mobile, Palm, Maemo, HTML5, Java, etc.
HOTP (HMAC-based One-time Password Algorithm)
– RFC 4226
TOTP (Time-based One-time Password Algorithm)
– RFC 6238
SMS, scratch passwords list
Tokens supportés
ASFWS 2013
6 Un serveur d'authentification forte pour $35!
Provisioning par Qrcode
Déploiement des tokens à large échelle
ASFWS 2013
7 Un serveur d'authentification forte pour $35!
Raspberry Pi – Bon marché
– Pas de licence d’OS (Debian Linux)
– Facilement disponible
– Supporté par une large communauté
– Alimentation via microUSB
– CPU 700 MHz (ARM)
– RAM 512 MB
Choix de la plateforme matérielle
ASFWS 2013
8 Un serveur d'authentification forte pour $35!
Installation de Debian Wheezy – Image existante chez Raspberry Pi
Installation des packages minimaux
– FreeRADIUS
– Nginx (serveur web)
– PHP
Installation de la librairie multiOTP
– Suivre simplement les instructions du fichier readme ;-)
Mise en place du serveur d’authentification
ASFWS 2013
9 Un serveur d'authentification forte pour $35!
Vue d’ensemble d’une utilisation
ASFWS 2013
10 Un serveur d'authentification forte pour $35!
MultiOneTimePassword Credential Provider,
authentification forte pour Windows
One Time Password Backend pour ownCloud
PoC phpMyAdmin avec authentification forte
Authentification forte pour un Extranet
…
Intégration dans d’autres produits
ASFWS 2013
11 Un serveur d'authentification forte pour $35!
Décembre 2013 – Prêt pour la certification OATH (Initiative For Open Authentication)
– Lien avec un serveur centralisé LDAP / ActiveDirectory
– Support des fichiers de provisioning PSKC v12 (encryptés)
– Attribution automatique de tokens hardware
– Resynchronisation automatique des tokens
– Importation d’utilisateurs en fichiers CSV
– Interface web basique pour la gestion
Roadmap pour les prochaines versions
ASFWS 2013
12 Un serveur d'authentification forte pour $35!
Des questions ?