#FISL 13: Autenticação de dois fatores em Linux

O José Damico mostrou como implementar autenticação de dois fatores em Linux, com diversos exemplos de código e demonstrações com Arduino. Vamos aos detalhes:
  • O OAUTH prevê alguns algoritmos - HMAC-based One Time Password (HOTP), Time-based One Time Password (TOTP), Chalenge Response Algorithm (OCRA);
  • Exemplos baseados em TOTP;
  • Janela de validação - tokens dentro de um certo período são aceitos. Bancos com janela de validação de 6 horas!
  • Pode ser necessário digitar dois ou três números gerados pelo token para sincronizar, por conta do período de fabricação;
  • O número de série (Oath prefix + Fabricante + serial) deve ser associado a características do usuário para efeito de associação, como identificar o token relacionado a um cliente e sua conta em determinado banco, por exemplo;
  • O Hardware / Software Module (HSM) é um aparelho inviolável utilizado para armazenar as sementes a partir das quais os códigos são gerados. Há implementações que armazenam as sementes em outros dispositivos não-HSM, motivo pelo qual há problemas de vazamento de códigos e sementes;
  • Implementação em Arduino com C++ demonstrou como sincronizar e utilizar um token "caseiro" com uma aplicação;
  • O Portable Symetric Key Container (PSKC) é um XML criptografado com a lista de sementes dos tokens a serem importados na sua estrutura, de modo a simplificar o processo de ativação e sincronização dos tokens numa empresa;
  • Diversos exemplos de código disponíveis no github - TOTP, PKSCBuilder, etc.
A palestra do José Damico mostrou como é possível desenvolver aplicações corporativas que fazem uso de autenticação baseada em tokens de forma segura, confiável e com baixo custo.

Christian Guerreiro

Professor por vocação, blogueiro e servidor público por opção, amante da tecnologia e viciado em informação.


Ensino a distância em Tecnologia da Informação: Virtualização com VMware, Big Data com Hadoop, Certificação ITIL 2011 Foundations e muito mais.


Suporte o Tecnologia que Interessa!

Você acha que as informações compartilhadas aqui são úteis?
Então me ajude a produzir ainda mais e melhores conteúdos!


É muito fácil. Basta divulgar nossos treinamentos pra alguém que conheça!


E se for de Salvador, podemos estruturar um curso presencial para sua empresa!

Eu vou ficar muito grato (e quem fizer os curso também :)!