Ciao,
> Il progetto su cui mi sto soffermando maggiormente e' il recente
> (2014) PrivacyID3A di Cornelius Kolbel che immagino conosciate per il
> precedente LinOTP, di cui PrivacyID3A e' un fork.
> C'e' qualcuno che lo conosca e lo utilizzi?
Ho LinOTP (il "babbo" di PrivacyID3A) in produzione da circa due anni su
un cluster di 4 nodi PSQL-BDR, repo utenti OpenLDAP e qualche migliaia
di token attivi di tipo "HMAC-Based One-Time Password (RFC4226)" ,
principalmente HW Token Feitian (e.g. c-200) e soft-token (Google
Authenticator), qualche decina di Yubikey (costano...), e un paio di SMS
token (che stiamo dismettendo)
> Pareri, suggerimenti?
Pareri, credo che valgano anche per privacyid3a:
- Fa il suo sporco lavoro, un'istanza singola si installa velocemente e
senza troppi problemi
- il "fail-over/clustering" è assente (o quasi) nella documentazione
ufficiale (o almeno lo era l'ultima volta che ho cercato), per cui
abbiam dovuto risolvere da soli anche eventuali problemi (le sequence in
primis).
- integrazione con applicazioni terze è abbastanza semplice per via
delle HTTP API che rispondono allegramente in JSON. Esempi:
- per verificare se il codice inserito dall'utente fa match con
uno qualunque dei token assegnati all'utente, es:
-
https://..../validate/check_s?user=<username>&pass=<OTP CODE>
- per verificare un OTP su uno specifico token:
/validate/check_s?serial=LSSP26269934&pass=<...>
- interfaccia di self-service con un sistema di ACL abbastanza
flessibile, anche se migliorabile
- ha un modulo pam OOB che funziona egregiamente (a parte qualche
problemino in fase di setup, e.g.:
https://github.com/LinOTP/LinOTP/issues/22)
- Sistema di audit con signature delle entry (che però ci ha dato delle
rogne: https://github.com/LinOTP/LinOTP/issues/23)
> Credo possa essere interessante anche un confronto con altri progetti
> di 2FA che ritenete degni di nota.
In generale ritengo sia LinOTP che PrivacyId3a delle buone soluzioni in
ambienti dove non puoi permetterti di spendere >=1€ al mese/utente,
tenendo conto però che parte di quel che risparmi in soldi lo spendi per
star dietro sia all'integrazione con prodotti terzi che alla gestione
del sistema (upgrade, replica del backend, backup, monitoring).
Un ultimo parere/suggerimento non tecnico:
Prima di attivare/forzare il two-factor a tutti gli utenti, assicurati
di mettere a disposizione un contatto (e.g. help desk) a cui gli utenti
possono rivolgersi in caso di problemi. LinOTP mette a disposizione
degli admin la funzione "Lost Token" e un altra categoria di token
(Simple Pass) che possono essere usati come dei "One Time recovery code"
(maxAuth=1) per i casi più disperati.
Ciao,
Alessandro
________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
