Umsetzung von zwei-Faktor-Authentifizierung in einer Java web-app

Ich habe eine bestehende Java-Webanwendungen unter IBM WebSphere (ich bin nicht sicher, welche version, konnte aber herausfinden, wenn es hilft) bin ich auf der Suche, um die Implementierung von zwei-Faktor-Authentifizierung mit.

Das system hat eine anständige Nutzerbasis, und ich wollte zu verteilen hardware-Token für die admin-Benutzer des Systems zu gewährleisten, die eine starke Authentifizierung.

Minimalen Auswirkungen auf die Endanwender ist wünschenswert, aber ich möchte vermeiden, dass die admins müssen gehen über eine VPN-Verbindung.

Kennt jemand irgendwelche Produkte, die Java-APIs, die direkt integriert werden in die bestehende Applikation oder andere Produkte, die einen minimalen Einfluss? Ich habe bereits gesprochen mit RSA SecurID, aber Ihr system würde nicht direkt integrieren und würde eine Infrastruktur ändern. Irgendwelche anderen Ideen/Erfahrungen sehr geschätzt.

InformationsquelleAutor BRR | 2010-09-13
  1. 3

    Für die Nachwelt, ich habe gerade gebucht und mein einfaches Java zwei-Faktor-Authentifizierung utility-Klasse auf Github. Mit es können Sie etwas wie die folgende:

    TwoFactorAuthUtil twoFactorAuthUtil = new TwoFactorAuthUtil();

//To generate a secret use:
//String base32Secret = generateBase32Secret();
String base32Secret = "NY4A5CPJZ46LXZCP";
//now we can store this in the database associated with the account

//this is the name of the key which can be displayed by the authenticator program
String keyId = "[email protected]";
System.out.println("Image url = " + twoFactorAuthUtil.qrImageUrl(keyId, base32Secret));
//we can display this image to the user to let them load it into their auth program

//we can use the code here and compare it against user input
String code = twoFactorAuthUtil.generateCurrentNumber(base32Secret);

//this little loop is here to show how the number changes over time
while (true) {
    long diff = TwoFactorAuthUtil.TIME_STEP_SECONDS
        - ((System.currentTimeMillis() / 1000) % TwoFactorAuthUtil.TIME_STEP_SECONDS);
    code = twoFactorAuthUtil.generateCurrentNumber(base32Secret);
    System.out.println("Secret code = " + code + ", change in " + diff + " seconds");
    Thread.sleep(1000);
}
    • Wenn ich versuche diese, wenn ich den Schritt von Sekunden bei 30, es immer noch Schritte & erzeugt einen neuen code in 11 Sekunden. Egal welchen Wert ich eingestellt für Schritt Sekunden, den code, nur bleibt für rund 40-45% der Zeit und dann erlischt.
    • Es sollte generieren Sie einen neuen code auf die minute und 30 Sekunden nach der minute ausgerichtet auf Ihre Uhr. Das macht mehr Sinn @ClickUpvote?
    • Hmm, wenn ich die Zeit auf 30 Sekunden, ich erwarte, dass meine den code für die letzten 30 Sekunden. So mehr zuverlässig. Ansonsten die codes sind abgelaufen 10 Sekunden und 15 Sekunden, das ist viel zu kurz.
    • Dies ist zum synchronisieren zwischen server Zeit und die client-Zeit über die Google authenticator-Anwendung (oder so ähnlich). Es gibt keinen Weg, um die client-Zeit. Haben Sie vielleicht 29 Sekunden, bis der code abgelaufen ist oder 1. Benutzer verstehen, dass bereits @ClickUpvote.
    InformationsquelleAutor Gray
  2. 1

    Wenn Sie zwei-Faktor-Authentifizierung über eine TLS-client-Zertifikat, gibt es ein paar hardware cryptographic Token gibt. Java laden kann eine PKCS#11-store out of the box, obwohl einige Konfiguration kann erforderlich sein. Wie viel davon ist admin Konfiguration oder Anwendung Konfiguration hängt von der Anwendung ab (und manchmal, wie 'gesperrt' ist das terminal w.r.t zum einstecken eines USB-token oder einen card-reader).

    Möglicherweise gibt es alternative Lösungen, wie z.B. One-Time-Password-Token (welche verlassen Sie sich nicht auf Zertifikate, sondern auf einzigartige Passwörter statt). Dies scheint weniger schwer für den Benutzer. Ich muss zugeben, ich habe es nie versucht, aber könnte dieses Projekt interessant sein: http://directory.apache.org/triplesec/ (Es gibt auch hardware-OTP-Schlüsselanhänger, in der Regel die gleichen Anbieter, die RSA-Karten/USB-Token).

    • Ich war gerade auf der Suche auf eine Frage, auf die ES SE re Apache triplesec! Ich bemerkte einige seltsame Dinge über Sie. Sollte ich Fragen, wie eine Frage? Oder ist die scheinbare fehlen von status, dh 404 würde, bereits bekannt als 2013, vielleicht wissen Sie das? Ich zögere immer über scheinbar wie ein idiot, obwohl Sie sehr gutherzig auf IT-SE.
    • Oh! Tut mir Leid! Ich erkannte, dass das war Sie security.stackexchange.com/a/3839/3607
    InformationsquelleAutor Bruno
  3. 0

    Wir haben die API-Pakete von Java (und php -, ruby -, python-und C#): http://www.wikidsystems.com/downloads/network-clients für die WiKID Strong Authentication system. Diese Pakete sind LGPL, so können Sie sich auch in kommerziellen Produkten. Sie arbeiten mit unseren beiden open-source-community-version und der kommerziellen Enterprise-version.

    HTH,

    Nick

    InformationsquelleAutor nowen
  4. 0

    Wenn Sie sind in der Lage zu verwenden, Spring Security, wir haben ein plugin bietet zwei-Faktor-Authentifizierung (körperliche und soft-Token) - http://www.cloudseal.com

    InformationsquelleAutor
Schreibe einen Kommentar