Twitter Timeline
- RT @slith76: No, really. Use Zsh. - IFHO http://t.co/rfm2Ywc48 months ago
- Neu im Blog: Datenbankstrukturen visualisieren http://t.co/T8XYZA1j9 months ago
- Neu im Blog: Multiuser-GIT-Repos mit Gitolite (Debian Squeeze) http://t.co/IA6rjTvA11 months ago
- Oha, Windows8 hat sowas wie TimeMachine eingebaut. Gute Sache. http://t.co/R7R0B1kX11 months ago
- Neu im Blog: Synergy - Cleveres Software KVM http://t.co/UwggNh7R11 months ago
- Neu im Blog: Git f?r Beginner - Teil 1 http://t.co/5eLmEHaM11 months ago
- Neu im Blog: multitail - Ein Auge auf den Logs http://t.co/9KRfRWPm11 months ago
- Neu im Blog: Das Problem mit der Schaltsekunde http://t.co/mxUgpm9J11 months ago
- Falls ihr komische Lastprobleme auf Linux-Systemen habt (v.A. Debian), ist evtl. die Schaltsekunde schuld: http://t.co/2kkmMlk611 months ago
- Neu im Blog: Composer - Einfaches Dependency Management f?r PHP http://t.co/VjxK30yJ11 months ago
- Das Blog wurde eben auf die aktuelle Version von S9Y aktualisiert (http://t.co/B3rd1s19). Bei Problemen/Fehlern bitte melden :)11 months ago
- Neu im Blog: owncloud - die eigene Wolke! http://t.co/iack8ocO11 months ago
- Auch eine Idee: Hello World in MS Paint geschrieben - http://t.co/E2bJdD9g11 months ago
- Chrome 20 ver?ffentlicht ... gro?er Versionssprung, aber au?er Bugfixes kaum ?nderungen. http://t.co/39v5j2s511 months ago
- Neu im Blog: Pakete vom Update aussschlie?en (Debian/Ubuntu) http://t.co/rwEZunFw11 months ago
- Neu im Blog: Eine Domain komplett via RewriteRule weiterleiten http://t.co/duwIMIUF11 months ago
- Ich freue mich auf diese Neuerung in MySql 5.6 - http://t.co/11qykcvi1 year ago
- RT @cyman_de: FreeNAS updates to v8.0.3 and is rid of some rubbish and small enough to fit on most usb sticks. netatalk works now with lion1 year ago
- Allen Lesern einen guten Rutsch und ein ein frohes neues Jahr. Unser guter Vorsatz: Mehr bloggen!1 year ago
- RT @slith76: Vim: revisited http://t.co/GIdKrKMz1 year ago
- So sieht es aus, wenn Kunden einen Newsletter rausschicken :) #mailgraph http://t.co/ULg29jon1 year ago
- FreeBSD Buchverlosung: http://t.co/a9t1MZO01 year ago
- RT @jcfrick: Die Cloud hat halt auch Nachteile ;-) http://t.co/vxqdcl6G1 year ago
- Neu im Blog: US-Proxy f?r YouTube und Co. bei Server4You - das war wohl nix http://t.co/UWow2jzp1 year ago
- Neu im Blog: Iphone 4S gestohlen, Telekom hilft nicht http://t.co/r57REuwI1 year ago
< SSD im MacBook Pro und zu wenig Speicherplatz? OptiBay hilft! | Acer EasyStore H341 als NAS für SMB und AFP mit Ubuntu Server >
Freitag, 18. März 2011
OATH One-Time-Passwörter mit Apache mod_authn_otp samt iPhone-App
Ein äußerst interessantes Projekt ist das Apache-Modul mod-authn-otp, womit sich Einmal-Passwörter gemäß dem RFC 4226 erzeugen lassen. Damit kann man hervorragend kritische Logins absichern oder Usern nur temporären Zugriff auf einen Loginbereich erlauben. Weitere Infos dazu gibt es auch auf der offiziellen OATH-Website.
Zuerst besorgt man sich den Quelltext von der Google-Code-Page des Projektes. Anschließend wird via ./configure; make modules ein .so Modul erzeugt, welches sich in Apache2 einbinden lässt. Mittels OTPAuthMaxLinger wird die maximale Gültigkeitsdauer eines Logins festgelegt (dies ist nötig, da das HTTP-Protokoll "stateless" ist).
Hier eine Beispiel-Konfiguration:
Zur Benutzung legt man eine spezielle .htpasswd-File nach der Vorlage hier an, welches man vorher in der Modul-Config unter OTPAuthUsersFile hinterlegt hat. Der Clou ist jedoch die Tatsache, dass man mit der iPhone-App "OATH Token" (AppStore-Link) nach Eingabe des Shared Secrets entsprechende Einmal-Passwörter generieren kann.
Wer nicht im Besitz eines iPhone ist, kann z.B. für 9,90 EUR ein kleines Gerät namens OTP C200 erwerben, welches die Passwörter ebenfalls erzeugen kann. Natürlich wäre es auch möglich, mit dem Algo aus dem RFC eigene Software dafür zu schreiben, uns hat aber die iPhone-App am besten gefallen.
"OATH Token" App
Zuerst besorgt man sich den Quelltext von der Google-Code-Page des Projektes. Anschließend wird via ./configure; make modules ein .so Modul erzeugt, welches sich in Apache2 einbinden lässt. Mittels OTPAuthMaxLinger wird die maximale Gültigkeitsdauer eines Logins festgelegt (dies ist nötig, da das HTTP-Protokoll "stateless" ist).
Hier eine Beispiel-Konfiguration:
<Location /geheim>
AuthType basic
AuthName "Nutzer-Login (OTP)"
AuthBasicProvider OTP
OTPAuthUsersFile "/data/users/admin-blog/.apache22/htpasswd.otp"
OTPAuthMaxLinger 300
Require valid-user
</Location>
Zur Benutzung legt man eine spezielle .htpasswd-File nach der Vorlage hier an, welches man vorher in der Modul-Config unter OTPAuthUsersFile hinterlegt hat. Der Clou ist jedoch die Tatsache, dass man mit der iPhone-App "OATH Token" (AppStore-Link) nach Eingabe des Shared Secrets entsprechende Einmal-Passwörter generieren kann.
Wer nicht im Besitz eines iPhone ist, kann z.B. für 9,90 EUR ein kleines Gerät namens OTP C200 erwerben, welches die Passwörter ebenfalls erzeugen kann. Natürlich wäre es auch möglich, mit dem Algo aus dem RFC eigene Software dafür zu schreiben, uns hat aber die iPhone-App am besten gefallen.
Trackbacks
Trackback-URL für diesen Eintrag
Keine Trackbacks
Kommentare
Ansicht der Kommentare:
(Linear | Verschachtelt)
Persönlich finde ich die Idee ganz Lustig z.B. den SSH Zugang mit einem Token zu gestalten. ( Besonders bei größeren Firmen ).
Bloß macht man damit nicht das Passwort an sich real greifbar? Was wäre denn wenn mir einer das Iphone oder so einen OPT C200 entwendet?
Ok. Das Iphone hat bestimmt selbst noch ein Passwort und den angesprochenen Shared Key. Aber bei einem extra Gerät wäre mir die Gefahr zu groß.
Ganz nach dem Motto "Die Gedanken sind frei, keiner kann Sie erraten", bleibe ich lieber bei meinem Kryptischen Schlüssel im Kopf. Lasse mich aber gerne eines besseren belehren
Bloß macht man damit nicht das Passwort an sich real greifbar? Was wäre denn wenn mir einer das Iphone oder so einen OPT C200 entwendet?
Ok. Das Iphone hat bestimmt selbst noch ein Passwort und den angesprochenen Shared Key. Aber bei einem extra Gerät wäre mir die Gefahr zu groß.
Ganz nach dem Motto "Die Gedanken sind frei, keiner kann Sie erraten", bleibe ich lieber bei meinem Kryptischen Schlüssel im Kopf. Lasse mich aber gerne eines besseren belehren
powered by
Suche
Kommentare
09.04.13 13:37
Leider verstecken sich diese Lösungen sehr g [...]
http://www.rackbl [...] 11.08.12 09:13
Ich habe mir über eBay Silikonkappen bestell [...]
09.07.12 16:02
Es spricht nichts gegen screen/tmux und tail [...]
07.07.12 15:35
Was spricht denn gegen Screen/tmux und das n [...]
25.06.12 22:07
VPN Service von einem Provider z.b. aus Engl [...]
13.06.12 12:38
Es hilft, einen anderen Browser zu nutzen (z [...]
