IFTTTで時間ベースのワンタイムパスワードを生成するにはどうすればよいですか?


9

私は最近IFTTTに登録しました。これは、スマートホームを作成したり、さまざまなサービスを自動化したりするためにイベントをチェーン化する素晴らしいサービスのようです。

単純なHTTP要求(GETやPOSTなど)を作成できるMakerチャネルを見つけました。これを使用して、API要求を待機している実行中のRaspberry Piにメッセージを安全に送信したいと思っています。特定のルート(たとえば、としましょうPOST /foo)。

Makezineの記事私がリンクされ、セキュリティのために、この方法が提案されています。

さて、上でやったことは恐ろしく安全ではありませんでした。基本的に、家の照明を制御するスイッチのオンとオフを切り替えることができるスクリプト(つまりWebアプリケーション)を世界に公開しました。これは明らかにあなたがやりたいことではありませんが、IFTTTのサービスがより多くの情報をリモートサービスに渡す機能を提供するのはそのためです。

たとえば、2つの間にTOTP認証リンクを設定したり、トークンや鍵交換を設定したり、IFTTTアカウント自体を保護したりすることは難しくありませんか?彼らは二要素認証を追加しました。

ウィキペディアで時間ベースのワンタイムパスワードの詳細を読みました。これは、ワンタイムパスワードを生成するために、計算の要素が含まれていることを示唆しているようです。

IFTTTはタスクのチェーンやスクリプトをサポートしていないため、記事で提案されているようにTOTPを生成するにはどうすればよいですか?いくつかの計算が必要であり、これらを行う方法がないように見えるので、これを行うことはまったく可能ですか?


IFTTTから特定のデータ(メールコンテンツなど)を送信していますか?その場合、その一部(件名)をクエリのパスワードとして含めることができます。また、SSLはメッセージを送信するのに十分ですか、それとも本当にパスワードが必要ですか?
Goufalite 2016

2
@Goufaliteパスワードの目的は認証用です。SSLはトランスポート層のセキュリティを提供しますが、要求が実際に私のアプレットからのものであるという保証はありません。
Aurora0001

一連のパスワードがどこかに保存されていて、定期的に生成されている場合、IFTTTはそれらを1つずつ送信しても問題ありません。正しい?
Prashanth Benny 2017

@PrashanthBenny、私の質問は特に世代についてです。IFTTTで数学演算を実行することはできませんが、この記事で、計算必要なこのアルゴリズムを推奨しているため、可能ではないようです。
Aurora0001

1
別の方法で話している情報源がないことを確認しましょう!:)
プラシャンスベニー・

回答:


3

リンクされた記事は少し誤解を招くものです。IFTTTが提供するインターフェースは完全に開いているわけではなく、リクエストにキーが必要です。リクエストはHTTPSを使用して行われるため、シークレットを直接確認することはできません(クライアントが常にmitmプロキシではなくIFTTTに確実に接続する場合)。

メーカーチャネル情報のページ(ユーザー固有)

イベントをトリガーするには、次のPOSTまたはGET Webリクエストを行います。

https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-keyオプションのJSON本文:

{"value1": ""、 "value2": ""、 "value3": ""}

データは完全にオプションであり、value1、value2、およびvalue3をクエリパラメータまたはフォーム変数として渡すこともできます。このコンテンツは、レシピのアクションに渡されます。

コマンドラインからcurlを使用して試すこともできます。

curl -X POST https://maker.ifttt.com/trigger/ {event} / with / key / my-secret-key

現在、キーはエントロピーが低いだけなので、リクエストの監視から逆転される可能性があります(高品質のノイズでリクエストをパディングしない限り)が、この場合、セッションごとのセキュリティのリクエストは、HTTPSチャネルのセットアップを処理するTLSによって満たされます。

通信を大幅に安全にするには、IFTTTがエンドポイント認証を特別にサポートする必要がありますが、これは他のサービス側リンクに適用されるセキュリティを超えるようです。つまり、IFTTTへのメーカーチャネルは、現在、家庭用電化製品へのIFTTTチャネルと同等に安全です。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.