MultiOTP

multiOTP

Captură de ecran a interfeței web open source multiOTP versiunea 5.4.1.7 informație

Dezvoltat de	Sisteme de comunicare SysCo sa
Prima versiune	7 iunie 2010
Ultima versiune	5.8.1.1 (14 martie 2021)
Starea proiectului	activ
Scris in	PHP
Sistem de operare	Linux
Mediu inconjurator	Cross-platform
Limbi	Multilingv
Tip	Autentificare puternică Parolă unică
Licență	LGPL
Site-ul web	www.multiOTP.net

multiOTP este o clasă PHP, un instrument de linie de comandă și o consolă web pentru a oferi o soluție puternică de autentificare independentă de orice sistem de operare. multiOTP a fost certificat OATH de la versiunea 4.1.0 și este dezvoltat sub licența LGPL de către compania elvețiană SysCo systems de communication sa. Sunt disponibile și versiuni comerciale numite multiOTP Pro și multiOTP Enterprise.

Un cod QR este generat automat la imprimarea paginii de configurare a unui utilizator.

Istoric

• Versiunea 1.0.0 a 7 iunie 2010a furnizat doar un instrument de linie de comandă rudimentar numit otpauth, deja scris în PHP. Instrumentul a fost redenumit multiotp în versiunea 1.1.4 câteva zile mai târziu pentru a evita confuzia cu un alt proiect cu același nume.
• Versiunea 2.0.0 a 19 iulie 2010a fost complet rescris ca o clasă PHP, făcând instrumentul pentru linia de comandă o implementare a clasei. Sub Windows, instrumentul pentru linia de comandă există sub forma unui fișier executabil, care include într-un singur fișier codul și interpretorul PHP.
• Versiunea 3.0.0 a 2 septembrie 2010 permite importul fișierelor de aprovizionare în format PSKC necodificate și structura de stocare internă este îmbunătățită
• Versiunea 3.1.1 din 19 decembrie 2010 permite stocarea informațiilor într-o bază de date MySQL.
• Versiunea 3.2.0 a 6 iulie 2011 vă permite să vă autentificați cu un cont generic, trecând apoi contul și parola utilizatorului specific ca parolă (aceasta în cazul unui link de bibliotecă cu autentificare în Windows care necesită un singur utilizator).
• Versiunea 3.9.2 din 25 octombrie 2011este versiunea pregătită pentru un workshop despre integrarea autentificării puternice în aplicațiile de internet. Acest atelier a avut loc în cadrul Forumului de securitate a aplicațiilor - Elveția de Vest 2011 la Yverdon-les-Bains (Elveția). Biblioteca a fost folosită și pentru validarea și distribuirea semințelor de jetoane distribuite de sponsorul evenimentului Feitian. Fiecare participant pur și simplu trebuia să furnizeze o adresă de e-mail, un număr de telefon mobil, numărul de serie al jetonului și codul OTP afișat pe jeton, apoi un e-mail criptat a fost trimis participantului în timp ce codul de decriptare a e-mailului a fost trimis prin mesaj text.
• Versiunea 4.0.7 din 30 august 2013 aduce o mulțime de îmbunătățiri și, în special, o operațiune client / server cu o stocare locală în cache a fișierelor de definiție a jetoanelor utilizate, revizuirea completă a suportului MySQL (inclusiv crearea și actualizarea tabelelor necesare), suportul Autentificare CHAP (în plus față de autentificarea PAP), generarea de coduri QR pentru aprovizionarea directă în Google Authenticator, crearea rapidă a utilizatorului cu o singură comandă etc.
• Versiunea 4.0.9 a 22 septembrie 2013este o versiune intermediară utilizată pentru a demonstra conceptul de autentificare puternică în cadrul diferitelor forumuri, cum ar fi sesiunea Rump a Forumului de securitate a aplicațiilor - Elveția de Vest 2013 în Yverdon-les-Bains (Elveția) și prezentarea de 45 de minute în timpul Studerus Technology Forum ( TEFO) 2013 la Zurich (Elveția).
• Versiunea 4.1.0 a 23 decembrie 2013este certificat OATH pentru HOTP și TOTP, ceea ce înseamnă compatibilitate deplină cu toate jetoanele hardware certificate, inclusiv fișierele de aprovizionare PSKC criptate. Versiunea sa beta a fost utilizată în timpul prezentării de 30 de minute susținută la conferința PasswordsCon 2013 de la Bergen (Norvegia). Sunt incluse toate instrucțiunile și fișierele necesare pentru a configura un dispozitiv de autentificare puternic bazat pe un nano-computer Raspberry Pi. Acum este posibil să înregistrați automat jetoane hardware neatribuite și este, de asemenea, posibil să efectuați o resincronizare sau deblocare jeton în timpul autentificării. Apare o interfață web de bază.
• Versiunea 4.1.1 a 20 ianuarie 2014aduce o mulțime de remedieri în urma feedbackului utilizatorilor, inclusiv o mai bună asistență pentru Microsoft Authenticator. La resincronizarea unui jeton (prin introducerea a două jetoane consecutive), nu mai este necesar să furnizați codul PIN.
• Versiunea 4.2.0 a 7 februarie 2014 oferă suport pentru protocoalele MS-CHAP și MS-CHAPv2.
• Versiunea 4.2.1 a 14 februarie 2014 acceptă un link Active Directory / LDAP pentru a crea conturi bazate pe utilizatorii Active Directory prezenți într-un anumit grup.
• Versiunea 4.2.2 a 3 martie 2014oferă o interfață web îmbunătățită care vă permite să importați fișiere de configurare a jetoanelor hardware, să creați utilizatori, să resincronizați jetoanele, să deblocați utilizatorii sau chiar să imprimați foaia de aprovizionare a jetoanelor (cu imprimarea unui cod QR pentru jetoanele de tip TOTP și HOTP). A fost adăugat un suport extins pentru serverul TekRADIUS RADIUS pentru a-i putea returna informații specifice, ceea ce este deosebit de util în timpul unei conexiuni MS-CHAP sau MS-CHAPv2.
• Versiunea 4.2.3 a 13 martie 2014 corectează o eroare referitoare la un posibil feedback negativ către serverul TekRADIUS dacă multiOTP este utilizat pentru a negocia o cheie de criptare pentru a stabili o legătură sigură.
• Versiunea 4.2.4 a 30 martie 2014îmbunătățește suportul MySQL și acum acceptă și clasa mysqli. De asemenea, este posibil să alegeți fără modificări în codul sursă câmpurile de criptat în baza de date de stocare. Generația codului QR a fost îmbunătățită, au fost adăugate multe teste de calitate și documentația a fost actualizată.
• Versiunea 4.2.4.1 din 6 aprilie 2014adaugă generația și ieșirea la fluxul standard al cheii NT_KEY pentru a putea negocia cheile de criptare folosind FreeRADIUS. Acum este posibil să importați definițiile simbolurilor stocate într-un fișier de tip CSV plat. Un utilizator șters este acum eliminat și din jetonul atribuit acelui utilizator. Opțiunea linie de comandă -user-info a fost adăugată pentru a obține informații detaliate despre un anumit utilizator.
• Versiunea 4.2.4.2 din 13 aprilie 2014îmbunătățește gestionarea XML pe tot parcursul proiectului utilizând mai mult decât o singură bibliotecă identică. A fost remediată o eroare care putea apărea la importul definițiilor jetonului într-un fișier CSV.
• Versiunea 4.2.4.3 din 12 iunie 2014 corectează o eroare referitoare la furnizorul de SMS-uri asms.
• Versiunea 4.3.0.0 a 4 noiembrie 2014adaugă posibilitatea de a utiliza o parolă AD / LDAP în locul unui PIN static. Această versiune adaugă, de asemenea, suport pentru protocolul Yubico OTP, inclusiv importul de chei utilizând fișierul jurnal furnizat de utilitarul de personalizare Yubico. Sincronizarea utilizatorilor în AD / LDAP a fost complet revizuită. Această versiune a fost utilizată pe4 noiembrie 2014 pentru atelierul de o zi prezentat la Forumul de securitate a aplicațiilor - Elveția de Vest 2014 în Yverdon-les-Bains (Elveția).
• Versiunea 4.3.1.0 a 9 decembrie 2014adaugă un proxy specific versiunii CLI, permițând creșterea semnificativă a vitezei de procesare cu o implementare efectuată pe un Raspberry Pi. A fost adăugat suport LDAP generic (pentru discurile de rețea Synology, precum și orice altă implementare bazată pe Linux). OTP-urile care includ un număr de serie sunt, de asemenea, mai bine acceptate (în PAP). Din această versiune și dacă opțiunea este activată, codul PIN al prefixului este, de asemenea, necesar, folosind parolele care trebuie tăiate. Variabila de mediu MULTIOTP_PATH este acum acceptată și permite definirea directorului principal al multiotp (dacă o implementare specială înseamnă că acest director nu este găsit automat).
• Versiunea 4.3.1.1 din 15 decembrie 2014oferă îmbunătățiri în sincronizarea AD și LDAP, ținând cont de mai multe câmpuri. Proiectul multiOTP este acum disponibil și pe GitHub.
• Versiunea 4.3.2.2 din 9 iunie 2015 îmbunătățiți unele părți vechi, adăugați / adaptați anumite valori implicite, permiteți utilizarea unui minus (-) în parolă, activați opțiunile de autoresincronizare și cache în mod implicit, implementați resincronizarea direct în clasă și curățați informațiile despre fișierul jurnal.
• Versiunea 4.3.2.3 din 10 iunie 2015este versiunea care a fost prezentată în timpul Dev (Talks): 2015 la București (România). Această versiune conține îmbunătățiri ale interfeței web.
• Versiunea 4.3.2.4 din 24 iunie 2015corectează o eroare dacă se utilizează caractere speciale atunci când se generează parole care urmează a fi tăiate. Sincronizarea AD / LDAP poate defini acum automat un cont ca fiind de tip multi_account.
• Versiunea 4.3.2.5 din 15 iulie 2015modifică comportamentul versiunii liniei de comandă atunci când este apelată fără parametri. Se returnează un cod de eroare (30) în locul unui cod de informație (19). Fișierele care permit utilizarea ca un dispozitiv virtual sunt acum furnizate, fie în format standard OVA, cu îmbunătățiri open-vm-tools, fie chiar în format Hyper-V.
• Versiunea 4.3.2.6 din 18 iulie 2015 adaugă generarea unui cod QR pentru codurile de tip mOTP (Mobile-OTP), iar o nouă metodă este acum implementată pentru a încărca date despre un anumit utilizator într-un tabel.
• Versiunea 5.0.2.5 din 16 octombrie 2016 oferă suport SSL mai bun, posibilitatea de a alege atributul AD / LDAP utilizat pentru sincronizarea conturilor, suport mai bun MS-CHAPv2, o gestionare mai bună a repetării aceleiași parole (atunci când se utilizează multiOTP pentru VPN de exemplu), ID-ul privat al YubicoOTP este acum verificat / Sincronizarea LDAP în SSL este acum compatibilă cu Windows 2012R2, caracterele speciale AD / LDAP (RFC4515) sunt mai bine acceptate, există noi metode pentru a „implementa activități asincrone la schimbarea datelor stocate.
• Versiunea 5.0.2.6 din 4 noiembrie 2016 îmbunătățește mesajele jurnal, actualizează unele utilități externe și adaptează formatul de fișier de rezervă pentru a fi compatibil cu versiunea de vânzare cu amănuntul.
• Versiunea 5.0.3.0 a 14 noiembrie 2016 adaugă suport pentru adresa IP Dial-In (inclusiv sincronizarea cu atributul Active Directory msRADIUSFramedIPAddress) și îmbunătățește importul de jetoane prin acceptarea cheilor de criptare binare.
• Versiunea 5.0.3.4 din 26 ianuarie 2017a îmbunătățit procesul de sincronizare AD / LDAP pentru directoarele mari AD / LDAP prin activarea implicită a memoriei cache în folderul temporar al sistemului. Mai multe comenzi CLI pot fi acum efectuate într-o singură linie. Sunt acceptate acum mai multe grupuri de utilizatori (avertisment, nu toate dispozitivele acceptă mai multe grupuri). Generatorul implicit TOTP / HOTP este acum FreeOTP (pentru Android / iOS). Acum este acceptat formatul de aprovizionare cu simboluri multifuncționale PSKCV10.
• Versiunea 5.0.3.5 din 3 februarie 2017 am remediat unele erori și am adăugat metoda GetUserInfo.
• Versiunea 5.0.3.6 din 21 februarie 2017adaugă suport binar brut și base32 pentru metodele SetUserTokenSeed și SetTokenSeed. Metoda de restaurare a configurației a fost actualizată.
• Versiunea 5.0.3.7 din 23 februarie 2017 au adăugat câteva îmbunătățiri minore, cum ar fi curățarea numelor grupurilor (trim) și gestionarea modului folder Linux.
• Versiunea 5.0.4.4 din 16 mai 2017 a îmbunătățit politica de respingere, neincrementând contorul de erori pentru același token reexecutat.
• Versiunea 5.0.4.5 din 29 mai 2017 a adăugat suport PostgreSQL, pe baza codului sursă furnizat de Frank van der Aa.
• Versiunea 5.0.4.6 din 2 iunie 2017 redefinit în Linux locația folderelor de configurare, dispozitivelor, grupurilor, jetoanelor și utilizatorilor din / etc / multiotp /
• Versiunea 5.0.4.8 din 6 iunie 2017 remediați conexiunea eșuată cu LDAP SSL / TLS pentru PHP 7.x
• Versiunea 5.0.4.9 din 7 iulie 2017 am remediat câteva erori minore și am adăugat metode de configurare pentru conexiunea TLS.
• Versiunea 5.0.5.0 a 8 septembrie 2017 a eliminat utilizarea instrumentului nircmd.exe din cauza unui fals pozitiv în timpul detectării virusului.
• Versiunea 5.0.5.2 din 29 septembrie 2017 setați generatorul mOTP implicit pentru Android / iOS să fie OTP Authenticator
• Versiunea 5.0.5.6 din 4 noiembrie 2017 am îmbunătățit documentația pentru utilizare cu FreeRADIUS 3.x și am remediat câteva erori minore.
• Versiunea 5.1.0.3 din 19 februarie 2018a adăugat suport pentru parola AD / LDAP expirată și o mai bună gestionare unicode. De asemenea, au fost făcute unele îmbunătățiri pentru furnizorul de acreditări multiOTP (pentru Windows).
• Versiunea 5.1.0.8 din 5 martie 2018a îmbunătățit furnizorul de acreditări multiOTP și acum este posibil să utilizați intrări de registru. De asemenea, remediază linkul „primiți un OTP prin SMS” pentru Windows 10.
• Versiunea 5.1.1.2 din 20 martie 2018 a furnizat primul fișier Docker pentru a crea un container care conține un server multiOTP open source complet.
• Versiunea 5.2.0.2 din 16 iulie 2018 suport îmbunătățit pentru protocolul AD / LDAP pentru Active Directory și opțiunea „Users DN” adăugată (opțional, altfel „DN de bază” este încă folosit pentru căutarea utilizatorilor)
• Versiunea 5.3.0.0 a 21 august 2018 a adăugat suport pentru mai mulți „DN utilizatori” (separați cu un punct și virgulă) pentru sincronizarea AD / LDAP (cu mesaje de depanare suplimentare de sincronizare) și noul algoritm „without2FA”, asta dacă unii utilizatori doresc doar parola / prefixul fără simbol.
• Versiunea 5.3.0.1 din 22 august 2018 a adăugat informații despre procesul de sincronizare.
• Versiunea 5.3.0.3 din 26 august 2018 a reparat procesul de restaurare în instrumentul de linie de comandă și a îmbunătățit procesul client / server.
• Versiunea 5.4.0.1 din 14 septembrie 2018 a reparat modul de compatibilitate al componentei serverului Windows Radius în timpul instalării.
• Versiunea 5.4.0.2 din 13 noiembrie 2018 import de fișiere PSKC îmbunătățit cu cheie de decodare binară și suport suplimentar pentru mai mulți furnizori de SMS (Swisscom LA REST, Afilnet, Clickatell2, eCall, Nexmo, NowSMS, SMSEagle și furnizor de SMS)
• Versiunea 5.4.1.1 din 7 ianuarie 2019 a adăugat suport pentru Raspberry Pi 3B +.
• Versiunea 5.4.1.4 din 18 ianuarie 2019 a adăugat suport Debian 9.x (stretch).
• Versiunea 5.4.1.6 din 25 ianuarie 2019 a rezolvat o problemă cu opțiunea NTP DHCP.
• Versiunea 5.4.1.7 din 30 ianuarie 2019 modifică biblioteca de generare de coduri QR și oferă o nouă imagine binară Raspberry Pi gata de utilizare pentru Raspberry Pi 1B / 1B + / 2B / 3B / 3B +.
• Versiunea 5.4.1.8 din 29 martie 2019 a adăugat suport pentru Access-Challenge
• Versiunea 5.8.0.2 din 20 septembrie 2020 a adăugat definiția furnizorului generic de SMS web, ștergerea automată a conturilor inexistente în AD / LDAP și suport pentru Debian Buster 10.5, PHP 7.3 și Raspberry PI 4B
• Versiunea 5.8.1.0 din 12 februarie 2021 a îmbunătățit afișarea stării contului pe interfața web

Operațiune

Inima multiOTP este o clasă PHP. Prin urmare, poate fi instanțiat în orice aplicație PHP, cu condiția să se utilizeze o versiune PHP mai mare sau egală cu versiunea 5.3.0 (până la versiunea 4.2.4.2, biblioteca funcționează întotdeauna cu o versiune PHP de instalare 4.4.4 sau mai mare, dar fără garanție).

Biblioteca multiOTP este furnizată sub forma unui singur fișier include care conține tot codul PHP necesar, care evită orice problemă de legături relative sau absolute în comparație cu alte fișiere care ar trebui incluse. Codurile sursă separate sunt totuși disponibile și în fișierul de proiect comprimat și pe platforma GitHub.

Dacă autentificarea puternică se face nu dintr-o aplicație de Internet, ci de pe un dispozitiv de rețea, vom trece apoi printr-un server RADIUS care va apela instrumentul de linie de comandă furnizat împreună cu biblioteca multiOTP.

Descriere generala

Pentru proiectele din Windows, biblioteca multiOTP este furnizată cu un server RADIUS preconfigurat (freeRADIUS) care poate fi instalat în serviciu, precum și un server web preconfigurat (mangustă) care poate fi instalat și în serviciu. Serviciul web oferă partea de server atunci când doriți să utilizați multiOTP în configurația client / server.

Pentru proiectele sub Linux, fișierul readme.txt furnizat împreună cu biblioteca indică ce este necesar să faceți pentru a configura serverul RADIUS și serviciul Web.

Autentificarea unui client pe o aplicație sau dispozitiv care necesită autentificare puternică se poate face în diferite moduri:

• cheie software (de exemplu, folosind software-ul Google Authenticator)
• cheie hardware (de exemplu o cheie de tip Feitian C200 pentru un cod dependent de timp)
• cod trimis prin SMS (de la versiunea 4.0.4)
• lista parolelor de traversat (de la versiunea 4.0.4)

Standardizare și normalizare

multiOTP este certificat OARH pentru HOTP și TOTP și implementează următoarele standarde privind autentificarea puternică:

• Algoritm unic de parolă bazat pe HOTP , HMAC ( RFC4226 )
• TOTP, algoritm de parolă bazat pe timp unic ( RFC6238 )
• Yubico OTP
• mOTP , Mobile-OTP, autentificare puternică, cu doi factori, cu telefoane mobile
• Google Authenticator (OATH / HOTP sau OATH / TOTP, seed base32, aprovizionare QRcode)
• Jetoane SMS (folosind asmsms, clickatell, intelisme sau chiar propriul script)
• PSKC (Profiluri algoritmice portabile de chei simetrice suplimentare portabile) ( RFC6030 )
• CHAP (Challenge Handshake Authentication Protocol) ( RFC1994 )
• MS-CHAP (Extensii Microsoft PPP CHAP) ( RFC2433 )
• MS-CHAPv2 (Extensii Microsoft PPP CHAP, versiunea 2) ( RFC2759 )
• Protocol Syslog (client) ( RFC5424 )
• Protocol de transfer simplu prin poștă ( SMTP ) ( RFC2821 )
• Extensie de serviciu SMTP pentru SMTP securizat peste TLS ( RFC2487 )
• Protocol ușor de acces la director (LDAP) ( RFC4511 )
• Reprezentarea în șir a filtrelor de căutare în LDAP ( RFC4515 )

Aplicații practice

multiOTP permite în special:

• adăugați autentificare puternică pentru identificarea unui utilizator (evitând astfel conexiunea cu o parolă furată sau ghicită).
• prin fixarea unei chei hardware într-un anumit loc, pentru a asigura prezența unei persoane în acel loc la un moment precis (codul furnizat de persoană la un moment dat făcând posibilă cunoașterea momentului la care a fost afișat acest cod).
• să autentifice un utilizator trimițându-i un cod prin SMS, validând astfel automat utilizatorul împotriva numărului său de telefon mobil.
• creați automat conturi de autentificare puternice pentru utilizatorii unui Active Directory (sau un LDAP) prezent într-un anumit grup.

Contribuții și limitări

Faptul că multiOTP este disponibil ca bibliotecă PHP permite instalarea acestuia oriunde, inclusiv pe un server web partajat.

Implementarea este suficient de ușoară pentru a rula fără probleme pe nano-computere, cum ar fi Raspberry Pi . Fișierul readme furnizat împreună cu fișierul comprimat indică toți pașii necesari implementării multiOTP pe acesta din urmă.

Aspecte economice și sociale

Parolele tradiționale sunt încă foarte prezente în mediile de calcul de astăzi, dar sunt principalul călcâie Ahile al autentificării în general. Într-adevăr, am văzut-o recent cu cele mai recente încălcări ale securității și, în special, cu Heartbleed , o parolă simplă nu mai este suficientă, chiar dacă este trimisă printr-un canal sigur!

Oferind o soluție de autentificare puternică simplă, ușoară și gratuită, multiOTP face posibilă democratizarea utilizării autentificării puternice. De la versiunea 4.1.0, este chiar posibil să configurați cu ușurință un dispozitiv de autentificare puternic autonom pentru mai puțin de 100 USD în hardware sau pur și simplu prin reciclarea unei mașini Linux vechi.

Exemple de utilizare a bibliotecii

• De cand noiembrie 2016, echipa multiOTP oferă un furnizor de acreditări pentru Windows 7/8 / 8.1 / 10/2012 (R2) / 2016, cu opțiuni diferite, cum ar fi autentificarea puternică numai în timpul conexiunii RDP sau suportului pentru nume UPN. Acest software se numește furnizor de acreditări multiOTP, bazat pe furnizorul de acreditări MultiOneTimePassword creat de Last Squirrel IT.
• ownCloud OTP este o aplicație de parolă utilizabilă o singură dată, bazată pe clasa multiOTP, care adaugă autentificare puternică proiectului OwnCloud , o alternativă open source la DropBox.
• 2FA Credential Provider pentru Windows Credential Provider pentru Windows bazat pe biblioteca multiOTP.
• Clasa multiOTP a fost utilizată ca instrument de învățare în demonstrațiile de securitate. sau pentru o teză de licență

Note și referințe

1. "  Provider multiOTP Credential  " , echipa multiOTP (accesat la 1 st februarie 2019 )
2. „  MultiOneTimePassword Credential Provider  ” , Last Squirrel IT (accesat la 28 iulie 2015 )
3. Echipa „  One Time Password Backend for ownCloud  ” , echipă apps.ownCloud.com (accesat la 30 octombrie 2013 )
4. „  Furnizor de acreditări 2FA pentru Windows  ” , Fluid Technology Solutions Ltd (accesat la 30 octombrie 2013 )
5. „  Autentificare puternică în aplicația web - Stadiul tehnicii 2011  ” , Compass Security AG (accesat la 30 octombrie 2013 )
6. „  Parole unice Teză de licență (în cehă)  ” , Universitatea de Economie, Praga (accesat la 30 octombrie 2013 )

Vezi și tu

• Autentificare puternică
• Parolă de unică folosință
• Limbaj de programare PHP

linkuri externe

• (ro) Pagina oficială a proiectului multiOTP