TOTP toevoegen aan accounts

vrijdag 4 september 2015 07:31

Acties:

0 Henk 'm!

Moderator General Chat

Topicstarter

Tegenwoordig wordt het steeds gebruikelijker logins te voorzien van twee factoren, een van vaker gekozen mogelijkheden is toevoegen van een TOTP-gebaseerd wachtwoord.

Het kan wellight zinvol zijn logins (remote en/of locaal) zo te beveiligen. Daarom zijn alweer geruime tijd twee pam oplossingen beschikbaar, pam_oath en pam_google_authenticator. Daarnaast kan ook openldap tegenwoordig TOTPs verwerken

Voor zover ik heb gezien is een wezenlijk verschil tussen pam_oath en pam_google_authenticator dat bij pam-oath bij management van de oath-secrets door de beheerder wordt verondersteld te worden gedaan, en bij pam_google_authenticator, de gebruikers hun secrets zelf beheren.

Wat zou de voorkeur hebben en wie heeft met een of beide systemen ervaring?

En misschien is algemeen ook nog wel wat te zeggen over het nut van dergelijke zaken (en eventueel yubikey/u2/smartcard...)

[ Voor 6% gewijzigd door begintmeta op 04-09-2015 10:25 ]

zaterdag 5 september 2015 19:11

Acties:

0 Henk 'm!

CAPSLOCK2000

zie teletekst pagina 888

Ik heb met geen van beide ervaring buiten de experimenteerfase.

Welk van die systemen de voorkeur heeft ligt natuurlijk aan de situatie. Het voordeel van zelf beheren is dat het minder werk is voor de systeembeheerders en gebruikers niet hoeven te wachten op hun. Als dat echter betekent dat alle medewerkers een uur kwijt zijn om uit te zoeken hoe het werkt dan heb je daar natuurlijk niks aan.

Aangezien je dat beheer via de CLI moet doen is het voor 99% van de gebruikers soweiso niet geschikt tenzij je hele organisatie uit IT'ers bestaat (en zelfs dan zullen er een paar zijn die de CLI te eng vinden).

Nog een nadeel van zelfservice is dat een kraker er ook bij kan en zo het inloggen onmogelijk kan maken voor de legitieme gebruikers.

Wanneer er meerdere systemen zijn waarop gebruikers moeten kunnen inloggen dan is het beter om het centraal te laten beheren. Je wil niet dat gebruikers moeten gaan nadenken over met welke token ze waar moeten inloggen of zelf de configuraties gelijk proberen te houden.

Overigens ben ik een groot voorstander van 2FA. De tijd dat we op alleen wachtwoorden konden vertrouwen is echt wel voorbij. Zelfs in het meest ideale geval is alleen een wachtwoord eigenlijk niet veilig. In praktijk hebben we niet met het ideale geval te maken maar met gebruikers die lui, dom, vergeetachtig én gemakzuchtig zijn (net mensen dus). Je kan trainen en opleiden zoveel je wil maar mensen blijven mensen. Een tweede factor is een erg eenvoudige manier om een hoop veiligheid toe te voegen zonder het vervelend te maken voor je gebruikers en zonder afhankelijk te zijn van de goede wil en de oplettenheid van je gebruikers.

Als je aan zo'n traject begint moet je wel nadenken over hoe je omgaat met problemen zoals verloren tokens. In principe is dat niet anders dan een procedure voor een verloren wachtwoord maar je moet het wel van te voren hebben uitgedacht. Je zou niet de eerste zijn die z'n telefoon laat vallen en vervolgens niet meer kan inloggen op de beheerdersaccount.

Een tweede punt dat je niet uit het oog moet verliezen dat een tweede factor een aanvulling is op een wachtwoord maar dat je nog steeds goed met wachtwoorden om moet gaan. Soms wordt gedacht dat je weer wachtwoorden met een post-it op de monitor mag plakken omdat je 2FA hebt. Vergelijkbaar is het punt dat je wel goed op je tokens moet passen. Als je medewerkers hun token in de eerste de beste kroeg laten liggen of hun wachtwoord met viltstift op de token schrijven dan heb je nog niks bereikt.

This post is warranted for the full amount you paid me for it.

Reageer

Onderwerpen