Un serveur d'authentification
forte pour $35!
Application Security Forum – Western Switzerland 2013
(16.10.2013)

André Li...
Un serveur d’authentification forte en 10 slides!
Naissance du projet
 Conception de la librairie multiOTP
 Tokens suppo...
Naissance du projet

2009 PoC en PHP pour le protocole Mobile-OTP
 2010 Création d’une classe et support de TOTP/HOTP
 2...
Conception de la librairie multiOTP


Implémentation « légère »
sous la forme d’une classe en PHP



Au final, la librai...
Tokens supportés


Mobile-OTP (motp.sourceforge.net)
– Time based, saisie du code PIN sur le device
– Android, iOS, Windo...
Déploiement des tokens à large échelle


Provisioning par Qrcode

Un serveur d'authentification forte pour $35!

ASFWS 20...
Choix de la plateforme matérielle


Raspberry Pi
– Bon marché
– Pas de licence d’OS (Debian Linux)
– Facilement disponibl...
Mise en place du serveur d’authentification


Installation de Debian Wheezy
– Image existante chez Raspberry Pi



Insta...
Vue d’ensemble d’une utilisation

Un serveur d'authentification forte pour $35!

ASFWS 2013

9
Intégration dans d’autres produits


MultiOneTimePassword Credential Provider,
authentification forte pour Windows



On...
Roadmap pour les prochaines versions


Décembre 2013
– Prêt pour la certification OATH (Initiative For Open Authenticatio...
Des questions ?

Un serveur d'authentification forte pour $35!

ASFWS 2013

12
Prochain SlideShare
Chargement dans…5
×

ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti

994 vues

Publié le

Publié dans : Technologie
0 commentaire
0 j’aime
Statistiques
Remarques
  • Soyez le premier à commenter

  • Soyez le premier à aimer ceci

Aucun téléchargement
Vues
Nombre de vues
994
Sur SlideShare
0
Issues des intégrations
0
Intégrations
4
Actions
Partages
0
Téléchargements
10
Commentaires
0
J’aime
0
Intégrations 0
Aucune incorporation

Aucune remarque pour cette diapositive

ASFWS 2013 - Rump session - Un serveur d'authentification forte pour $35! par André Liechti

  1. 1. Un serveur d'authentification forte pour $35! Application Security Forum – Western Switzerland 2013 (16.10.2013) André Liechti Dernière mise à jour: 31.10.2013 Un serveur d'authentification forte pour $35! ASFWS 2013 www.multiOTP.net
  2. 2. Un serveur d’authentification forte en 10 slides! Naissance du projet  Conception de la librairie multiOTP  Tokens supportés  Déploiement des tokens à large échelle  Choix de la plateforme matérielle  Mise en place du serveur d’authentification  Vue d’ensemble d’une utilisation  Intégration dans d’autres produits  Roadmap pour les prochaines versions  Séance de questions / réponses  Un serveur d'authentification forte pour $35! ASFWS 2013 2
  3. 3. Naissance du projet 2009 PoC en PHP pour le protocole Mobile-OTP  2010 Création d’une classe et support de TOTP/HOTP  2011 Atelier pratique lors de l’ASFWS 2011  2012 Déploiement plus large et retours des utilisateurs  2013 Ajout de nouvelles fonctionnalités – Envoi de tokens par SMS – Génération de listes à biffer – Provisioning par Qrcode / URL – Utilisation client/serveur avec cache local – Possibilité de stockage dans une base de données (MySQL)  Un serveur d'authentification forte pour $35! ASFWS 2013 3
  4. 4. Conception de la librairie multiOTP  Implémentation « légère » sous la forme d’une classe en PHP  Au final, la librairie tient dans un seul fichier agrégé (~ 10’000 lignes)  Outil en ligne de commande implémentant la librairie  Stockage dans des fichiers plats Un serveur d'authentification forte pour $35! ASFWS 2013 4
  5. 5. Tokens supportés  Mobile-OTP (motp.sourceforge.net) – Time based, saisie du code PIN sur le device – Android, iOS, Windows Mobile, Palm, Maemo, HTML5, Java, etc.  HOTP (HMAC-based One-time Password Algorithm)  TOTP (Time-based One-time Password Algorithm)  SMS, scratch passwords list – RFC 4226 – RFC 6238 Un serveur d'authentification forte pour $35! ASFWS 2013 5
  6. 6. Déploiement des tokens à large échelle  Provisioning par Qrcode Un serveur d'authentification forte pour $35! ASFWS 2013 6
  7. 7. Choix de la plateforme matérielle  Raspberry Pi – Bon marché – Pas de licence d’OS (Debian Linux) – Facilement disponible – Supporté par une large communauté – Alimentation via microUSB – CPU 700 MHz (ARM) – RAM 512 MB Un serveur d'authentification forte pour $35! ASFWS 2013 7
  8. 8. Mise en place du serveur d’authentification  Installation de Debian Wheezy – Image existante chez Raspberry Pi  Installation des packages minimaux  Installation de la librairie multiOTP – FreeRADIUS – Nginx (serveur web) – PHP – Suivre simplement les instructions du fichier readme ;-) Un serveur d'authentification forte pour $35! ASFWS 2013 8
  9. 9. Vue d’ensemble d’une utilisation Un serveur d'authentification forte pour $35! ASFWS 2013 9
  10. 10. Intégration dans d’autres produits  MultiOneTimePassword Credential Provider, authentification forte pour Windows  One Time Password Backend pour ownCloud  PoC phpMyAdmin avec authentification forte  Authentification forte pour un Extranet  … Un serveur d'authentification forte pour $35! ASFWS 2013 10
  11. 11. Roadmap pour les prochaines versions  Décembre 2013 – Prêt pour la certification OATH (Initiative For Open Authentication) – Lien avec un serveur centralisé LDAP / ActiveDirectory – Support des fichiers de provisioning PSKC v12 (encryptés) – Attribution automatique de tokens hardware – Resynchronisation automatique des tokens – Importation d’utilisateurs en fichiers CSV – Interface web basique pour la gestion Un serveur d'authentification forte pour $35! ASFWS 2013 11
  12. 12. Des questions ? Un serveur d'authentification forte pour $35! ASFWS 2013 12

×