Google Authenticator als öffentlicher Dienst verfügbar?

Gibt es eine öffentliche API für die Verwendung des Google Authenticator (zwei-Faktor-Authentifizierung) auf sich selbst ausführen (z.B. LAMP-stack) web-apps?

InformationsquelleAutor der Frage ohho | 2011-02-23

110

Den Projekt ist open source. Ich habe es nicht. Aber es ist über eine dokumentierte Algorithmus (der bereits in der RFC aufgeführt, die auf der open-source-Projekt-Seite), und die authenticator-Implementierungen Unterstützung für mehrere Konten.

Den eigentlichen Prozess ist einfach. Das one-time-code ist im wesentlichen ein pseudo-random number generator. Ein random number generator ist eine Formel, die sobald Sie in einem gegebenen seed-oder Start-Nummer, weiterhin erstellen Sie einen stream von Zufallszahlen. Gegeben einen Samen, während die zahlen werden zufällig auf jeder anderen, die Sequenz selbst ist deterministisch. So, sobald Sie Ihr Gerät und dem server "sync", dann werden die Zufallszahlen, die das Gerät erzeugt, jedes mal, wenn Sie drücken Sie die "nächste Nummer-Taste", werden die gleichen sein, zufällige zahlen, die der server erwartet.

Einen sicheren one-time-Passwort-system ist komplizierter als eine random number generator, aber das Konzept ist ähnlich. Es gibt auch andere details, die helfen, halten Sie das Gerät und server zu synchronisieren.

So, es gibt keine Notwendigkeit für jemand anderen host für die Authentifizierung, wie, sagen OAuth. Stattdessen müssen Sie implementieren, der Algorithmus ist kompatibel mit den apps, die Google bietet für die mobilen Geräte. Diese software ist (sollte sein), die auf der open-source-Projekt.

Abhängig von Ihrer Raffinesse, sollten Sie alle haben, die Sie implementieren müssen, um die server-Seite dieses Prozesses geben die OSS-Projekt und der RFC. Ich weiß nicht, ob es eine spezifische Implementierung für die server-software (PHP, Java, .NET, etc.)

Aber, insbesondere, Sie don ' T brauchen einen externen Dienst, um diese zu bewältigen.

InformationsquelleAutor der Antwort Will Hartung
44

Des Algorithmus ist dokumentiert in RFC6238. Geht etwas wie dieses:
- Ihre server gibt der Benutzer ein Geheimnis zu installieren in Google Authenticator. Google diese als QR-code dokumentiert hier.
- Google Authenticator generiert einen 6-stelligen code aus einem SHA1-HMAC der Unix-Zeit und das Geheimnis (viel mehr detail auf diese in der RFC)
- Der server auch weiß, das Geheimnis /unix-Zeit zu überprüfen, den 6-stelligen code.
Habe ich eine Spiel-Umsetzung des Algorithmus in javascript hier: http://blog.tinisles.com/2011/10/google-authenticator-one-time-password-algorithm-in-javascript/

InformationsquelleAutor der Antwort russau
20

Gibt es eine Vielzahl von Bibliotheken für PHP (LAMP-Stack)

PHP

https://code.google.com/p/ga4php/

http://www.idontplaydarts.com/2011/07/google-totp-two-factor-authentication-for-php/

Sollten Sie vorsichtig sein, wenn die Umsetzung der zwei-Faktor-Authentifizierung, die Sie benötigen, um sicherzustellen, dass Ihre Uhren auf die server und client synchronisiert werden, dass es Schutz gegen brute-force-Angriffe auf das token und die ersten Samen verwendet, ist entsprechend groß.

InformationsquelleAutor der Antwort James
9

Können Sie verwenden meine Lösung, geschrieben als Antwort auf meine Frage (es ist vollständige Python-code und Erklärung):

Google Authenticator-Implementierung in Python

Ist es eher leicht zu realisieren in PHP oder Perl, denke ich. Wenn Sie irgendwelche Probleme mit diesem, lassen Sie es mich bitte wissen.

Habe ich auch habe meine code auf GitHub als Python-Modul.

InformationsquelleAutor der Antwort Tadeck
6

Fand ich dies: https://github.com/PHPGangsta/GoogleAuthenticator. Habe es getestet und funktioniert gut für mich.

InformationsquelleAutor der Antwort user1893983
4

Theres: https://www.gauthify.com, die es bietet als service

InformationsquelleAutor der Antwort NoviceCoding
2

Ja, Sie müssen keine Netzwerk-service, weil Google Authenticator-app kommuniziert nicht mit dem google-server, es hält nur synchronisiert mit das ursprüngliche Geheimnis, dass Ihr server erstellen " (Eingabe in Ihr Telefon aus dem QR-code), während die Zeit vergeht.

InformationsquelleAutor der Antwort diyism

Nicht die LAMPE, aber wenn Sie mit C# das ist der code, den ich verwenden:

Code-Zitat von:

https://github.com/kspearrin/Otp.NET

Den Base32Encoding Klasse ist aus dieser Antwort:

https://stackoverflow.com/a/7135008/3850405

Beispiel-Programm:

class Program
{
    static void Main(string[] args)
    {
        var bytes = Base32Encoding.ToBytes("JBSWY3DPEHPK3PXP");

        var totp = new Totp(bytes);

        var result = totp.ComputeTotp();
        var remainingTime = totp.RemainingSeconds();
    }
}

Totp:

public class Totp
{
    const long unixEpochTicks = 621355968000000000L;

    const long ticksToSeconds = 10000000L;

    private const int step = 30;

    private const int totpSize = 6;

    private byte[] key;

    public Totp(byte[] secretKey)
    {
        key = secretKey;
    }

    public string ComputeTotp()
    {
        var window = CalculateTimeStepFromTimestamp(DateTime.UtcNow);

        var data = GetBigEndianBytes(window);

        var hmac = new HMACSHA1();
        hmac.Key = key;
        var hmacComputedHash = hmac.ComputeHash(data);

        int offset = hmacComputedHash[hmacComputedHash.Length - 1] & 0x0F;
        var otp = (hmacComputedHash[offset] & 0x7f) << 24
               | (hmacComputedHash[offset + 1] & 0xff) << 16
               | (hmacComputedHash[offset + 2] & 0xff) << 8
               | (hmacComputedHash[offset + 3] & 0xff) % 1000000;

        var result = Digits(otp, totpSize);

        return result;
    }

    public int RemainingSeconds()
    {
        return step - (int)(((DateTime.UtcNow.Ticks - unixEpochTicks) /ticksToSeconds) % step);
    }

    private byte[] GetBigEndianBytes(long input)
    {
        //Since .net uses little endian numbers, we need to reverse the byte order to get big endian.
        var data = BitConverter.GetBytes(input);
        Array.Reverse(data);
        return data;
    }

    private long CalculateTimeStepFromTimestamp(DateTime timestamp)
    {
        var unixTimestamp = (timestamp.Ticks - unixEpochTicks) /ticksToSeconds;
        var window = unixTimestamp /(long)step;
        return window;
    }

    private string Digits(long input, int digitCount)
    {
        var truncatedValue = ((int)input % (int)Math.Pow(10, digitCount));
        return truncatedValue.ToString().PadLeft(digitCount, '0');
    }

}

Base32Encoding:

public static class Base32Encoding
{
    public static byte[] ToBytes(string input)
    {
        if (string.IsNullOrEmpty(input))
        {
            throw new ArgumentNullException("input");
        }

        input = input.TrimEnd('='); //remove padding characters
        int byteCount = input.Length * 5 /8; //this must be TRUNCATED
        byte[] returnArray = new byte[byteCount];

        byte curByte = 0, bitsRemaining = 8;
        int mask = 0, arrayIndex = 0;

        foreach (char c in input)
        {
            int cValue = CharToValue(c);

            if (bitsRemaining > 5)
            {
                mask = cValue << (bitsRemaining - 5);
                curByte = (byte)(curByte | mask);
                bitsRemaining -= 5;
            }
            else
            {
                mask = cValue >> (5 - bitsRemaining);
                curByte = (byte)(curByte | mask);
                returnArray[arrayIndex++] = curByte;
                curByte = (byte)(cValue << (3 + bitsRemaining));
                bitsRemaining += 3;
            }
        }

        //if we didn't end with a full byte
        if (arrayIndex != byteCount)
        {
            returnArray[arrayIndex] = curByte;
        }

        return returnArray;
    }

    public static string ToString(byte[] input)
    {
        if (input == null || input.Length == 0)
        {
            throw new ArgumentNullException("input");
        }

        int charCount = (int)Math.Ceiling(input.Length /5d) * 8;
        char[] returnArray = new char[charCount];

        byte nextChar = 0, bitsRemaining = 5;
        int arrayIndex = 0;

        foreach (byte b in input)
        {
            nextChar = (byte)(nextChar | (b >> (8 - bitsRemaining)));
            returnArray[arrayIndex++] = ValueToChar(nextChar);

            if (bitsRemaining < 4)
            {
                nextChar = (byte)((b >> (3 - bitsRemaining)) & 31);
                returnArray[arrayIndex++] = ValueToChar(nextChar);
                bitsRemaining += 5;
            }

            bitsRemaining -= 3;
            nextChar = (byte)((b << bitsRemaining) & 31);
        }

        //if we didn't end with a full char
        if (arrayIndex != charCount)
        {
            returnArray[arrayIndex++] = ValueToChar(nextChar);
            while (arrayIndex != charCount) returnArray[arrayIndex++] = '='; //padding
        }

        return new string(returnArray);
    }

    private static int CharToValue(char c)
    {
        int value = (int)c;

        //65-90 == uppercase letters
        if (value < 91 && value > 64)
        {
            return value - 65;
        }
        //50-55 == numbers 2-7
        if (value < 56 && value > 49)
        {
            return value - 24;
        }
        //97-122 == lowercase letters
        if (value < 123 && value > 96)
        {
            return value - 97;
        }

        throw new ArgumentException("Character is not a Base32 character.", "c");
    }

    private static char ValueToChar(byte b)
    {
        if (b < 26)
        {
            return (char)(b + 65);
        }

        if (b < 32)
        {
            return (char)(b + 24);
        }

        throw new ArgumentException("Byte is not a value Base32 value.", "b");
    }

}

InformationsquelleAutor der Antwort Ogglas

1

Für diejenigen, die sich mit Laravel, das https://github.com/sitepoint-editors/google-laravel-2FA ist ein schöner Weg, um dieses problem zu lösen.

InformationsquelleAutor der Antwort briankip

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.