[PHP] Hardware token

dinsdag 20 maart 2012 14:24

Acties:

Topicstarter

Hoi allemaal,

Ik ben voornamelijk een PHP-ontwikkelaar, en vanuit één van organisaties waarvoor ik werk is de vraag gekomen of ik "eventjes" extra authenticatie wil inbouwen middels een hardware authentication.

Ze laten me wel vrij in de manier waarop ik die doe. Ik heb wat onderzoek gedaan, en het blijkt dat er veel oplossingen zijn, echter krijg ik nergens een eenduidig antwoord.

Zo heb ik (volgens mij) de volgende opties:

USB thumbdrive
Offline tokenizer
Combinatie van beide

Afbeeldingslocatie: http://i40.tinypic.com/c3z7n.jpg

Het liefst ga ik voor een offline tokenizer (zie bovenstaande afbeelding), echter kan ik geen concrete informatie vinden bij welk bedrijf ik dit zou kunnen bestellen. Een vereiste is natuurlijk een PHP (of remote) SDK waarmee de gegenereerde tokens kan controleren, etcetera.

Heeft iemand hier op GoT ervaring met dergelijke oplossingen?

Note: USB Thumbdrives alléén gaat niet werken omdat er uitsluitend gebruik wordt gemaakt van firefox, vaak worden deze thumbdrives alleen ondersteund in internet explorer...

dinsdag 20 maart 2012 14:33

Acties:

Wolf87

OTP en een Yubikey?

http://sourceforge.net/projects/php-otp/
http://www.yubico.com/yubikey

Of anders een RSA SecurID.

dinsdag 20 maart 2012 14:40

Acties:

las3r

Topicstarter

Ik heb Yubikey gemaild, echter bleef respons vrij lang uit - tot vandaag nog geen antwoord (5 werkdagen nu).

Mailtje de deur uitgedaan naar EMC voor de RSA SecurID

Thanks voor de suggestie.

dinsdag 20 maart 2012 15:07

Acties:

Wolf87

Volgens mij is er redelijk wat informatie te vinden op de website van Yubikey: http://www.yubico.com/low-level-library

dinsdag 20 maart 2012 15:24

Acties:

kokx

WIN

Ik zou eens kijken naar Google Authenticator. Hierbij kan je simpelweg een app gebruiken op je smartphone om de code te genereren. Dit is hetzelfde als de two-step authentication van google zelf.

dinsdag 20 maart 2012 16:29

Acties:

xzaz

Ik weet niet of je wel afhankelijk wilt zijn van verschillende bedrijven ten opzichte van een authenticatie systeem. Natuurlijk moet je het wiel ook niet opnieuw uitvinden.

Schiet tussen de palen en je scoort!

dinsdag 20 maart 2012 16:32

Acties:

Freeaqingme

Als het enigzins betaalbaar moet zijn zou ik voor die yubikeys gaan. die RSA dingen zijn onbetaalbaar voor kleinere projecten. Tuurlijk, als je voor duizenden mensen iets wil hebben wordt het in een keer betaalbaar, maar voor iets kleins valt dat tegen.

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

dinsdag 20 maart 2012 16:35

Acties:

TimDJ

yubikey's gebruiken wij ook en zijn goede libraries voor. Je kan zelfs een eigen yubikey authenticatie server opzetten als je niet afhankelijk wilt zijn van Yubico zelf.

Freelance Drupal Developer

dinsdag 20 maart 2012 16:49

Acties:

Thralas

Als een bedrijf een PHP-ontwikkelaar de klus geeft om 2-factor auth uit te zoeken en te implementeren dan vallen RSA tokens waarschijnlijk buiten budget. Er zijn natuurlijk wel vergelijkbare tokens, (euro'tje of 10), maar geen idee in hoeverre die 'secure zijn'.

Anyway, er zijn genoeg opties, en 't verschilt nogal in usability:
- OTP tokens (ala RSA SecurID)
- OTP met input dmv. keyboardemulatie (Yubikey)
- OTP met software (iOS/Android)
- Smartcards (cardreader + PIN) + SSL client certs

dinsdag 20 maart 2012 16:54

Acties:

Exhar

'k Zou eens kijken op gooze.eu. Goede prijzen, _veel_ informatie, daar moet je wel wat mee kunnen

dinsdag 20 maart 2012 17:10

Acties:

DiedX

Ik denk dat je wel iets hebt aan de volgende gegevens:

* Een RSA-Token is +- 100,- stuk.

Ik zou zelf voor Yubikey gaan. Met een YubiRadius-server kan je de de keys herprogrammeren, opvoeren in je YubiRadius, en vervolgens je applicatie Radius hier tegenaan laten praten.

Om heel eerlijk te zijn: is dit strikt noodzakelijk? Kan je iets meer inzicht geven in wat er beveiligd moet worden?

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

dinsdag 20 maart 2012 17:30

Acties:

Freeaqingme

DiedX schreef op dinsdag 20 maart 2012 @ 17:10:
* Een RSA-Token is +- 100,- stuk.

Daar komt dan voor zover ik weet nog een appliance van een paar duizend euro bij?

No trees were harmed in creating this message. However, a large number of electrons were terribly inconvenienced.

dinsdag 20 maart 2012 23:56

Acties:

DiedX

Freeaqingme schreef op dinsdag 20 maart 2012 @ 17:30:
[...]

Daar komt dan voor zover ik weet nog een appliance van een paar duizend euro bij?

Stimmt. Maar dit is om een idee te geven qua prijzen. Overigens ben ik nog steeds benieuwd /wat/ we nu beveiligen...

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

woensdag 21 maart 2012 09:18

Acties:

Cartman!

Volgens mij kun je het toch ook heel simpel zelf maken? Gewoon een account afsluiten bij bijv. Mollie, code genereren en SMS-en, gebruiker voert die weer in. Dan heb je alleen de extra kosten van je smsjes. Het beheer is dan heel simpel en je hebt geen geklooi met externe tokens die je moet beheren en die mensen kwijt kunnen raken (=duur).

Die RSA SecurID tokens waren een tijdje terug nog in het nieuws dat ze deels gekraakt waren, heilig zijn die dingen ook niet dus.

woensdag 21 maart 2012 09:31

Acties:

Matis

Rubber Rocket

Wij zijn zakelijk van RSA naar Fortinet overgestapt voor zowel het VPN als authenticatie middels hardware token.
De redenen hiervoor waren: Goedkopere tokens (30 euro per stuk) en de service wordt extern beheerd (wat ik dan weer als nadeel zie).
Ik heb net even zitten zoeken op hun site, maar kan nergens vinden dat er ook 3rd party SDK voor zijn.

Daarnaast kun je voor elke token (30 euro) in het duurste geval (100 - 999 tokens bij Mollie) al 230 smsjes verzenden.
Ik weet niet hoeveel / hoe vaak je die code vereist, maar je zou in zo'n geval bij werkdagelijks gebruik bijna een jaar toekunnen (uitgaande van 20 vakantiedagen en 5 werkdagen in de week).

[ Voor 30% gewijzigd door Matis op 21-03-2012 09:34 ]

If money talks then I'm a mime
If time is money then I'm out of time

Onderwerpen