@snp27 ноя 2011 в 19:53

Двухфакторная аутентификация на домашнем серваке — быстро, дёшево, дружелюбно

3 мин

17K

Системное администрирование *

+86

Комментарии 29

НЛО прилетело и опубликовало эту надпись здесь

@Perkov 28 ноя 2011 в 05:23

Которая стоит от 40к$ единоразово?

НЛО прилетело и опубликовало эту надпись здесь

@Zorkus 28 ноя 2011 в 08:15

Поддерживаю! Сам активно его использую как второй фактор для LastPass, самое то (в качестве третьего использую сканер отпечатков пальца, когда с ноутбука).

@Valery4 27 ноя 2011 в 21:52

Определённо, в последнее время, очень торт!

P.S. Для айфона тоже есть гугловская тулза.

@snp 28 ноя 2011 в 04:05

Да, ещё и для Blackberry. Обновил пост.

@VolCh 27 ноя 2011 в 22:29

Может стоить поподробнее описать сам процесс аутенфикации, а то не все используют его в гугле.

И не очень понятно насколько важно, что сервак домашний — на удаленном не заработает?

@snp 28 ноя 2011 в 04:19

Да, стоит. Добавил пару фраз.

«Домашний» это шутка :) Разумеется можно всё внедрить где угодно, причём даже не только в SSH, но и в любой сервис, который использует PAM. Например, FTP.

@VolCh 28 ноя 2011 в 07:37

Что это такое вообще понятно, не понятно как работает конкретная реализация. Телефон и сервер генерируют две одинаковые последовательности кодов на основе общего секретного инициирующего кода (а ля псевдослучайные числа) или «токен» лишь показывает коды, которые ему как-то отсылает сервер (а то и гугл отсылает и на токен, и на сервер)?

@snp 28 ноя 2011 в 09:09

Спасибо, действительно надо уточнить, пост обновил. Самому-то всё понятно, а вот читателю не всегда :)

@ekungurov 13 дек 2011 в 08:05

FTP будет запрашивать два пароля?

@ComodoHacker 27 ноя 2011 в 22:44

_[paranoia]
Датчиков в 3D сканере реальности Гугла становится все больше…
^[/paranoia]

@leviathan 27 ноя 2011 в 23:02

Данная либа лишь разработана Гуглом, код открыт и никакие данные самому Гуглу не передаются, насколько мнe известно.

@ComodoHacker 28 ноя 2011 в 07:10

Тогда прошу, прощения, я сразу не разобрался.

[paranoia] Правда на истинность общего утверждения выше это практически не влияет :) [/paranoia]

@snp 28 ноя 2011 в 04:08

В данном случае Гугл никакие данные не собирает :) По ссылке, которую тулза выдаёт перед QR кодом, ходить не нужно.

@Disasm 28 ноя 2011 в 06:42

Вполне может собирать, ведь данные через него идут. Или это аутентификация гугла без серверов гугла?

@snp 28 ноя 2011 в 07:29

Без.

Просто конкретные форматы секретного кода и временных кодов совместимы с гуглевской системой и можно использовать их готовое мобильное приложение.

@kemko 28 ноя 2011 в 07:31

А что мешает сделать аутентификацию гугла без серверов гугла? Это просто очередная реализация OTP ключей…

@Disasm 28 ноя 2011 в 07:31

Да, я уже понял как это работает. Всем спасибо.

@baxtep2 28 ноя 2011 в 08:08

Хочу под виндовс такую штуку на рабочий комп.

@VorteKC 28 ноя 2011 в 10:06

А вот, кстати, вопрос. Имеет ли смысл такое приложение непосредственно на раб. станции с которой будет осуществляться вход, а не на смарте? Вопрос не конкретно вам, baxtep2, если что:)

@snp 28 ноя 2011 в 10:21

Я бы не стал так делать, т.к. секретный ключ придётся хранить тоже на раб. станции, а он будет в более уязвимом положении — ведь можно подхватить трояна. Или враг может в ваше отсутствие пошарить на диске. Разные яйца лучше хранить в разных корзинах :)

@baxtep2 28 ноя 2011 в 11:52

генератор кодов у меня в Айфоне уже есть. Хочу что бы после ввода пароля еще и с айфоном код сверялся.

@medin 28 ноя 2011 в 08:52

и тут сразу проверяем, точно ли время в телефоне

Вот это кстати да… совсем недавно находясь в другом часовом поясе эта вся ~~хренатень~~ распрекрасная система перестала работать!

Незнаю что именно сбило все — в ручную настроенное время в телефоне или автоматическая настройка на буке… но гугл не принимал коды.

Если у кого есть решение для путешественников — огласите пжлста.

@snp 28 ноя 2011 в 09:21

Нужно, чтобы время в UTC на обоих сторонах совпадало. В Linux внутри время всегда в UTC, а текущее вычисляется на основе описания timezone. В Android'е, как частном случае Linux, все точно так же. Поэтому выставляем вначале текущее смещение от UTC, потом правильное время и всё будет работать.

У меня в телефоне обновления таймзоны (отменённый в этом году переход между зимним и летним временем) ещё не пришли, поэтому находясь в Москве, выставляю «Дубай». Это именно то, что нужно — смещение UTC+4 и нет зимнего/летнего времени.

@kazkad 28 ноя 2011 в 18:37

Есть решения проверенные и зарекомендовавшие себя: E-NUM

Чаще всего видно его использование при входе на сайты системы WebMoney Transfer и при оплате товаров на WebMoney Merchant

Есть клиенты для:

Java
Android
iOS
Windows Mobile

@ananazzz 29 ноя 2011 в 00:52

Dubstep щаз самое то :)

@tyratam 29 ноя 2011 в 03:36

Опыт показывает, что необходимость дополнительного устройства у клиента делает систему неудобной для массового пользователя.
Вроде бы и круто, но в большинство упрямо не хочет пользоваться.
Причем, даже бесплатность клиентского терминала не решает проблему…

@mente 9 сен 2013 в 06:12

Ссылка на Google Authenticator устарела, по возможности обновите

Зарегистрируйтесь на Хабре, чтобы оставить комментарий