Computerbeveiliging - Hoe je bad guys buiten de deur houdt

Google Two Factor Authentication veilig?

06-08-2013, 07:02 door morales, 7 reacties
De meest gebruikersvriendelijke implementatie van One-Time-Password dat ik heb kunnen vinden is Google Two Factor Authentication. I.c.m. met de Google Authenticator applicatie op je mobiel heb je denk ik wel een relatief veilige setup.
Je kan het zelfs gebruiken om je SSH verbindingen mee te beveiligen ( https://scottlinux.com/2013/06/02/use-google-authenticator-for-two-factor-ssh-authentication-in-linux/ )

Nu zegt Google ook open standaarden te gebruiken en is de Google Authenticator applicatie open source.

Maar ik begrijp uit de documentatie is dat je nog steeds moet verbinden met de Google OAuth 2.0 Authorization Server.
( https://developers.google.com/accounts/docs/OAuth2 )

Nu ben ik geen beveiligings expert, maar als google de sleutels uitdeelt, heeft Google die sleutel ook. Right? Lijkt mij niet handig om deze bij een derde partij te hebben liggen, laat staan dat deze ze voor je aanmaakt.
Ook vanuit privacy opzicht is het denk ik een slecht idee Google te gebruiken, weten zij straks waar en wanneer dat ik wil inloggen op me server?

Is een Implementatie zoals LinOTP dan misschien niet beter? ( http://linotp.org/ )

Ik wil een eigen server gaan draaien en zoek naar degelijke en toch gebruikersvriendelijke manieren om deze goed te beveiligen en Two Factor Authentication is denk ik een stap in de goede richting.
Reacties (7)
06-08-2013, 08:23 door Anoniem
Goedmorgen,

Zet je internet uit en probeer een code te generen je zult zien dat dit gewoon werkt.
Het is namelijk zo dat de server de tijd bijhoud om je code te laten matchen.

Dus nee google heeft jou code niet hij staat enkel in tijd in sync omdat je anders nooit de juiste code krijgt.

Verbeter mij maar als ik het fout heb.

- Shortcut
07-08-2013, 11:37 door Anoniem
Google deelt alleen de sleutel uit voor hun eigen omgeving. Dat is ook wel nodig om hun server met jouw app te tunen. Als je de app gebruikt voor bijvoorbeeld SSH, genereer je de sleutel lokaal op je server. Op https://www.axivo.com/community/threads/secure-two-step-google-auth-login-in-centos.174/ is een goede beschrijving te vinden.

Peter
07-08-2013, 17:37 door Anoniem
Ik heb laatst eens naar de client kant gekeken van google authenticator en ben twee verschillende varianten tegen gekomen. Een java client die ik tegenkwam voor desktop gebruik kon alles zelf en hebben dus geen connectiviteit naar google nodig om te kunnen functioneren. Daarnaast was ik een python gebaseerde client tegen die de code simpelweg genereerde door een specifieke url bij google op de vragen.
08-08-2013, 11:59 door Anoniem
Bij Google is niets veilig.
11-08-2013, 14:09 door Anoniem
Meest gebruiksvriendelijke OTP? Check de YubiKey.
Heeft behalve een remote API's OOK native code in vele talen!
11-08-2013, 14:12 door Anoniem
Ah, en voor OTP in SSH kun je ForceCommand gebruiken.
Zie http://forum.yubico.com/viewtopic.php?f=3&t=860
14-08-2013, 13:08 door Anoniem
Door Anoniem: Bij Google is niets veilig.

Lekker kort door de bocht. Wat versta je onder veilig? Veilig as in NSA, of veilig as in security?

Er zijn weinig plekken op internet zo goed beveiligd als bij Google. Zelden dat er informatie gestolen is wat bij andere bedrijven wel anders is...
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.