OPNsense Forum
International Forums => German - Deutsch => Topic started by: Andreas on August 19, 2015, 07:02:49 am
-
Hi,
um die Sicherheit zu erhöhen fänd ich es nicht uninteressant OTP für den GUI Login zu verwenden oder für VPNs.
Gibts da Planungen für? Oder schon Module?
Danke
A. Velten
-
Grüße,
OTP ist mir bei *sense nicht bekannt. Zu einer möglichen Umsetzung gibt es zwei Dinge anzumerken:
(a) Anmeldedaten werden in der config.xml und darüber dann im FreeBSD gespeichert. Als Modul (Erweiterung) lässt sich aus Sicherheitsgründen nichts einfügen, auch wenn das Modul dafür gedacht ist die Sicherheit zu erhöhen. Es müsste also OTP direkt im Projekt implementiert werden.
(b) Die OTP Variante sollte gut gewählt werden mit leicht umsetzbarer Verteilung der Passwörter. Ansätze gibt es viele, aber sobald ein zweites Endgerät genutzt werden soll, ist die Umsetzung unverhältnismäßig schwerer.
FreeBSD selbst bietet hierfür OPIE, vielleicht lässt es sich damit umsetzen: https://www.freebsd.org/doc/handbook/one-time-passwords.html
Frage an alle: Welche Umsetzungen haben sich bewährt?
-
Aus Erfahrung bin ich der Ansicht, dass Voucher Codes die Variante ist, welche weniger Probleme im Betrieb ergibt.
Mit OTP besteht das Problem, dass bei Verbindungsunterbruch auch das Passwort ungültig wird und so der User ein neues PW anfordern muss. Dies bringt nur unnötige Umtriebe.
Bei Voucher (was prinzipiell ein OTP aber mit definiertem Nutzungzeitfenster ist) kann man in jedem Fall wieder einloggen. Bis das Zeitfenster abgelaufen ist.
Jakob
-
Hi,
du setzt Voucher ein für VPN Zugänge?
Es geht mir ja hier mit dem OTP wirklich um den sicheren Zugang zum Admin Bereich sowie für den Aussendienstler der sich einwählen soll/kann. Denke nicht das hier ein Voucher Sinn macht. Es ist einfach eine Zweifaktor Authentifzierung gemeint für den mobilen Client...
-
Das neue Captive Portal hat gerade eine neues Authentifizierungs-Backend mit sich gebracht. Im Moment wird da der Voucher-Support neu erstellt. Das Interessante: der GUI Login ist schon mit dem Backend Verbunden, das heißt es ist generell möglich die GUI mittels Voucher zu erreichen. Da ist der OTP zwar noch etwas entfernt, aber eben nicht mehr so weit. :)
-
Ich sag nur DANKE!!!
aber ;)
bitte implementiert noch ein OTP System fürs Backend / VPNs :))
bitte bitte bitte :P