Google Authenticatorを公共サービスとして利用できますか?


回答:


121

このプロジェクトは、オープンソースです。使用していません。ただし、文書化されたアルゴリズム(オープンソースプロジェクトページに記載されているRFCに記載)を使用しており、認証システムの実装は複数のアカウントをサポートしています。

実際のプロセスは簡単です。ワンタイムコードは、基本的に、疑似乱数ジェネレータです。乱数ジェネレーターは、シードまたは開始番号が与えられると、乱数のストリームを作成し続ける数式です。シードが与えられると、数値は互いにランダムになる可能性がありますが、シーケンス自体は確定的です。したがって、デバイスとサーバーが「同期」すると、「次の番号ボタン」を押すたびにデバイスが作成する乱数は、サーバーが期待するものと同じランダムな数になります。

安全なワンタイムパスワードシステムは、乱数ジェネレータよりも高度ですが、概念は似ています。デバイスとサーバーの同期を維持するのに役立つその他の詳細もあります。

したがって、OAuthのように、誰かが認証をホストする必要はありません。代わりに、Googleがモバイルデバイスに提供するアプリと互換性のあるアルゴリズムを実装する必要があります。このソフトウェアは、オープンソースプロジェクトで利用できます(利用できるはずです)。

洗練度にもよりますが、このプロセスのサーバー側を実装するために必要なものすべてにOSSプロジェクトとRFCを与える必要があります。サーバーソフトウェアに特定の実装があるかどうかはわかりません(PHP、Java、.NETなど)。

ただし、具体的には、これを処理するためのオフサイトサービスは必要ありません。


3
一方、多くの異なるモバイルデバイスで利用可能な、既存のよく知られている、簡単に入手できるソリューションを使用することには大きなメリットがあります...(ヒント)
simpleuser

26
SMSですか?速度が遅く、信頼性が低く、コストがかかります。
Achraf Almouloudi 2014

純粋なJavaでウェブサイトにGoogle Authenticator / RFC6238互換2faを実装する方法についてブログに投稿しました:asaph.org/2016/04/google-authenticator-2fa-java.html(恥知らずなプラグイン)
Asaph

2
FYI NISTは、2016年8月の時点でSMSを使用した2要素認証を推奨しなくなりました。コストが安全でないと考えられるので、気にしないでください。
TheDPQ

57

アルゴリズムはRFC6238で文書化されています。このように少し行きます:

  • サーバーは、ユーザーにGoogle認証システムにインストールするための秘密を与えます。Googleは、ここに記載されているQRコードとしてこれを行います
  • Google Authenticatorは、Unix時間のSHA1-HMACとシークレットから6桁のコードを生成します(これについては、RFCで詳しく説明しています)
  • サーバーは、6桁のコードを検証するための秘密/ UNIX時間も知っています。

私はここでJavaScriptでアルゴリズムを実装する遊びをしました:http : //blog.tinisles.com/2011/10/google-authenticator-one-time-password-algorithm-in-javascript/


20

PHPにはさまざまなライブラリ(LAMPスタック)があります。

PHP

https://code.google.com/p/ga4php/

http://www.idontplaydarts.com/2011/07/google-totp-two-factor-authentication-for-php/

2要素認証を実装する場合は注意が必要です。サーバーとクライアントのクロックが同期していること、トークンへのブルートフォース攻撃に対する保護が確立されていること、使用する初期シードが適切に大きいことを確認する必要があります。


コンテンツは素晴らしかったが、いくつかの潜在的な欠陥があるため、最初のリンクを使用する人はSQLインジェクション防止方法を実装する必要があります。最初の問題のために提起された問題を見てください。2番目のリンクは完璧です。
Septronic、2015年

9

私の質問への回答として投稿された私のソリューション使用できます完全なPythonコード説明があります):

PythonでのGoogle認証システムの実装

PHPやPerlで実装するのはかなり簡単だと思います。これに問題がある場合は、お知らせください。

私のコードもPythonモジュールとしてGitHubに投稿しました


1
事実の少し後...私はCPANにPerlモジュールがあることを言及してフォローアップしたいと思います:Auth :: GoogleAuthenticator(search.cpan.org/dist/Auth-GoogleAuthenticator)。
DavidO 2014



3

はい、ネットワークサービスは必要ありません。GoogleAuthenticatorアプリはGoogleサーバーと通信しないため、時間が経過してもサーバーが生成する(QRコードから携帯電話に入力する)初期のシークレットと同期されます。


2

LAMPではありませんが、C#を使用する場合、これは私が使用するコードです。

もともとのコード:

https://github.com/kspearrin/Otp.NET

Base32Encodingクラスはこの回答からのものです。

https://stackoverflow.com/a/7135008/3850405

プログラム例:

class Program
{
    static void Main(string[] args)
    {
        var bytes = Base32Encoding.ToBytes("JBSWY3DPEHPK3PXP");

        var totp = new Totp(bytes);

        var result = totp.ComputeTotp();
        var remainingTime = totp.RemainingSeconds();
    }
}

Totp:

public class Totp
{
    const long unixEpochTicks = 621355968000000000L;

    const long ticksToSeconds = 10000000L;

    private const int step = 30;

    private const int totpSize = 6;

    private byte[] key;

    public Totp(byte[] secretKey)
    {
        key = secretKey;
    }

    public string ComputeTotp()
    {
        var window = CalculateTimeStepFromTimestamp(DateTime.UtcNow);

        var data = GetBigEndianBytes(window);

        var hmac = new HMACSHA1();
        hmac.Key = key;
        var hmacComputedHash = hmac.ComputeHash(data);

        int offset = hmacComputedHash[hmacComputedHash.Length - 1] & 0x0F;
        var otp = (hmacComputedHash[offset] & 0x7f) << 24
               | (hmacComputedHash[offset + 1] & 0xff) << 16
               | (hmacComputedHash[offset + 2] & 0xff) << 8
               | (hmacComputedHash[offset + 3] & 0xff) % 1000000;

        var result = Digits(otp, totpSize);

        return result;
    }

    public int RemainingSeconds()
    {
        return step - (int)(((DateTime.UtcNow.Ticks - unixEpochTicks) / ticksToSeconds) % step);
    }

    private byte[] GetBigEndianBytes(long input)
    {
        // Since .net uses little endian numbers, we need to reverse the byte order to get big endian.
        var data = BitConverter.GetBytes(input);
        Array.Reverse(data);
        return data;
    }

    private long CalculateTimeStepFromTimestamp(DateTime timestamp)
    {
        var unixTimestamp = (timestamp.Ticks - unixEpochTicks) / ticksToSeconds;
        var window = unixTimestamp / (long)step;
        return window;
    }

    private string Digits(long input, int digitCount)
    {
        var truncatedValue = ((int)input % (int)Math.Pow(10, digitCount));
        return truncatedValue.ToString().PadLeft(digitCount, '0');
    }

}

Base32Encoding:

public static class Base32Encoding
{
    public static byte[] ToBytes(string input)
    {
        if (string.IsNullOrEmpty(input))
        {
            throw new ArgumentNullException("input");
        }

        input = input.TrimEnd('='); //remove padding characters
        int byteCount = input.Length * 5 / 8; //this must be TRUNCATED
        byte[] returnArray = new byte[byteCount];

        byte curByte = 0, bitsRemaining = 8;
        int mask = 0, arrayIndex = 0;

        foreach (char c in input)
        {
            int cValue = CharToValue(c);

            if (bitsRemaining > 5)
            {
                mask = cValue << (bitsRemaining - 5);
                curByte = (byte)(curByte | mask);
                bitsRemaining -= 5;
            }
            else
            {
                mask = cValue >> (5 - bitsRemaining);
                curByte = (byte)(curByte | mask);
                returnArray[arrayIndex++] = curByte;
                curByte = (byte)(cValue << (3 + bitsRemaining));
                bitsRemaining += 3;
            }
        }

        //if we didn't end with a full byte
        if (arrayIndex != byteCount)
        {
            returnArray[arrayIndex] = curByte;
        }

        return returnArray;
    }

    public static string ToString(byte[] input)
    {
        if (input == null || input.Length == 0)
        {
            throw new ArgumentNullException("input");
        }

        int charCount = (int)Math.Ceiling(input.Length / 5d) * 8;
        char[] returnArray = new char[charCount];

        byte nextChar = 0, bitsRemaining = 5;
        int arrayIndex = 0;

        foreach (byte b in input)
        {
            nextChar = (byte)(nextChar | (b >> (8 - bitsRemaining)));
            returnArray[arrayIndex++] = ValueToChar(nextChar);

            if (bitsRemaining < 4)
            {
                nextChar = (byte)((b >> (3 - bitsRemaining)) & 31);
                returnArray[arrayIndex++] = ValueToChar(nextChar);
                bitsRemaining += 5;
            }

            bitsRemaining -= 3;
            nextChar = (byte)((b << bitsRemaining) & 31);
        }

        //if we didn't end with a full char
        if (arrayIndex != charCount)
        {
            returnArray[arrayIndex++] = ValueToChar(nextChar);
            while (arrayIndex != charCount) returnArray[arrayIndex++] = '='; //padding
        }

        return new string(returnArray);
    }

    private static int CharToValue(char c)
    {
        int value = (int)c;

        //65-90 == uppercase letters
        if (value < 91 && value > 64)
        {
            return value - 65;
        }
        //50-55 == numbers 2-7
        if (value < 56 && value > 49)
        {
            return value - 24;
        }
        //97-122 == lowercase letters
        if (value < 123 && value > 96)
        {
            return value - 97;
        }

        throw new ArgumentException("Character is not a Base32 character.", "c");
    }

    private static char ValueToChar(byte b)
    {
        if (b < 26)
        {
            return (char)(b + 65);
        }

        if (b < 32)
        {
            return (char)(b + 24);
        }

        throw new ArgumentException("Byte is not a value Base32 value.", "b");
    }

}


-1

C#ユーザーの場合、このシンプルなコンソールアプリを実行して、ワンタイムトークンコードを確認する方法を理解します。最初にNugetパッケージからライブラリOtp.Netをインストールする必要があることに注意してください。

static string secretKey = "JBSWY3DPEHPK3PXP"; //add this key to your Google Authenticator app  

private static void Main(string[] args)
{
        var bytes = Base32Encoding.ToBytes(secretKey);

        var totp = new Totp(bytes);

        while (true)
        {
            Console.Write("Enter your code from Google Authenticator app: ");
            string userCode = Console.ReadLine();

            //Generate one time token code
            string tokenInApp = totp.ComputeTotp();
            int remainingSeconds = totp.RemainingSeconds();

            if (userCode.Equals(tokenInApp)
                && remainingSeconds > 0)
            {
                Console.WriteLine("Success!");
            }
            else
            {
                Console.WriteLine("Failed. Try again!");
            }
        }
}
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.