2011年3月7日月曜日

Google のトークン認証システム、オープンソースで公開中

 

米国の Gmail アカウント向けに Google がテストしている、Android 携帯や BlackBerry 端末などがセキュリティトークンとして使える新しい二要素認証システム "Google Authenticator" の実装がオープンソースソフトウェアとして Google Code で公開されている現在は Android 用、BlackBerry OS 用、PAM 用モジュールの 3 つのソフトウェアが公開されており、RFC 4226 にあるHMAC-Based One-time Password (HOTP) と現在ドラフト段階にある Time-based One-time Password (TOTP) 2 種類のプロトコルに対応しているそうだ。Google のサービスとしては現在のところ米国内で希望者が Google サービスへログインする場合のみに使われているが、PAM のモジュールを自分でダウンロードして好みの Linux マシンなどに組み込むこともできる。

 

利用者は端末にアプリをダウンロードし、秘密鍵を設定し、PAM では緊急用スクラッチコードも記録する。実際のログインには端末に使い捨てのパスワード (One Time Password: OTP) が表示され、通常のパスワードに加えこの OTP を入力してログインする。リプレイ攻撃を防ぐことができるので、証明書を作る/使うのが面倒なとき、あるいはワンタイムパスワードが使いたいなどの場合に役立つかもしれない。すでに Linux 上での SSH や端末ログインに適用した例があるようだ

 

 

http://code.google.com/p/google-authenticator/

Overview

The Google Authenticator project includes implementations of one-time passcode generators for several mobile platforms, as well as a pluggable authentication module (PAM). One-time passcodes are generated using open standards developed by the Initiative for Open Authentication (OATH)(which is unrelated to OAuth).

These implementations support the HMAC-Based One-time Password (HOTP) algorithm specified in RFC 4226 and the Time-based One-time Password (TOTP) algorithm currently in draft.

Implementations

This project currently offers mobile application implementations of HOTP/TOTP for Android and Blackberry, as well as a PAM module. An implementation for iPhone will be made available soon.

Google Authenticator for Android

The Android mobile app supports:

  • Multiple accounts
  • Support for 30-second TOTP codes
  • Support for counter-based HOTP codes
  • Key provisioning via scanning a QR code
  • Manual key entry of RFC 3548 base32 key strings

Google Authenticator for Blackberry

The BlackBerry mobile app supports:

  • Multiple accounts
  • Support for 30-second TOTP codes
  • Support for counter-based HOTP codes
  • Manual key entry of RFC 3548 base32 key strings

PAM Module

The PAM modules can add a two-factor authentication step to any PAM-enabled application. It supports:

  • Per-user secret and status file stored in user's home directory
  • Support for 30-second TOTP codes
  • Support for emergency scratch codes
  • Protection against replay attacks
  • Key provisioning via display of QR code
  • Manual key entry of RFC 3548 base32 key strings

 

0 件のコメント:

コメントを投稿