asfws 2013 - rump session - un serveur d'authentification forte pour $35! par andré liechti

ASFWS 2013

Un serveur d'authentification forte pour $35!

Un serveur d'authentification

forte pour $35!

Application Security Forum – Western Switzerland 2013

(16.10.2013)

André Liechti

Dernière mise à jour: 31.10.2013 www.multiOTP.net

ASFWS 2013

2 Un serveur d'authentification forte pour $35!

Naissance du projet

Conception de la librairie multiOTP

Tokens supportés

Déploiement des tokens à large échelle

Choix de la plateforme matérielle

Mise en place du serveur d’authentification

Vue d’ensemble d’une utilisation

Intégration dans d’autres produits

Roadmap pour les prochaines versions

Séance de questions / réponses

Un serveur d’authentification forte en 10 slides!

ASFWS 2013

3 Un serveur d'authentification forte pour $35!

2009 PoC en PHP pour le protocole Mobile-OTP

2010 Création d’une classe et support de TOTP/HOTP

2011 Atelier pratique lors de l’ASFWS 2011

2012 Déploiement plus large et retours des utilisateurs

2013 Ajout de nouvelles fonctionnalités – Envoi de tokens par SMS

– Génération de listes à biffer

– Provisioning par Qrcode / URL

– Utilisation client/serveur avec cache local

– Possibilité de stockage dans une base de données (MySQL)

Naissance du projet

ASFWS 2013

4 Un serveur d'authentification forte pour $35!

Implémentation « légère »

sous la forme d’une classe en PHP

Au final, la librairie tient dans un seul fichier agrégé

(~ 10’000 lignes)

Outil en ligne de commande implémentant la librairie

Stockage dans des fichiers plats

Conception de la librairie multiOTP

ASFWS 2013

5 Un serveur d'authentification forte pour $35!

Mobile-OTP (motp.sourceforge.net) – Time based, saisie du code PIN sur le device

– Android, iOS, Windows Mobile, Palm, Maemo, HTML5, Java, etc.

HOTP (HMAC-based One-time Password Algorithm)

– RFC 4226

TOTP (Time-based One-time Password Algorithm)

– RFC 6238

SMS, scratch passwords list

Tokens supportés

ASFWS 2013

6 Un serveur d'authentification forte pour $35!

Provisioning par Qrcode

Déploiement des tokens à large échelle

ASFWS 2013

7 Un serveur d'authentification forte pour $35!

Raspberry Pi – Bon marché

– Pas de licence d’OS (Debian Linux)

– Facilement disponible

– Supporté par une large communauté

– Alimentation via microUSB

– CPU 700 MHz (ARM)

– RAM 512 MB

Choix de la plateforme matérielle

ASFWS 2013

8 Un serveur d'authentification forte pour $35!

Installation de Debian Wheezy – Image existante chez Raspberry Pi

Installation des packages minimaux

– FreeRADIUS

– Nginx (serveur web)

– PHP

Installation de la librairie multiOTP

– Suivre simplement les instructions du fichier readme ;-)

Mise en place du serveur d’authentification

ASFWS 2013

9 Un serveur d'authentification forte pour $35!

Vue d’ensemble d’une utilisation

ASFWS 2013

10 Un serveur d'authentification forte pour $35!

MultiOneTimePassword Credential Provider,

authentification forte pour Windows

One Time Password Backend pour ownCloud

PoC phpMyAdmin avec authentification forte

Authentification forte pour un Extranet

…

Intégration dans d’autres produits

ASFWS 2013

11 Un serveur d'authentification forte pour $35!

Décembre 2013 – Prêt pour la certification OATH (Initiative For Open Authentication)

– Lien avec un serveur centralisé LDAP / ActiveDirectory

– Support des fichiers de provisioning PSKC v12 (encryptés)

– Attribution automatique de tokens hardware

– Resynchronisation automatique des tokens

– Importation d’utilisateurs en fichiers CSV

– Interface web basique pour la gestion

Roadmap pour les prochaines versions

ASFWS 2013

12 Un serveur d'authentification forte pour $35!

Des questions ?