2要素認証用のアプリ「WinAuth」はWindows PCに対応したワンタイムパスワード/OTPのソフトウエアトークンです。
WinAuthの特徴は
- Windows PCのみに対応
- オープンソース
WinAuth は、時間ベースのワンタイムパスワード(TOTP) およびカウンターベースのワンタイムパスワード(HOTP)の両方の方式に対応しています
ワンタイムパスワードのTOTP方式に対応のサービスとしては
- Amazon Web Services(AWS Multi-Factor Authentication)
- Dropbox
- Evernote
- GitHub
- Googleアカウント
- Google Apps for Work
- IIJ Omnibusサービス
- IIJセキュアMXサービス
- Microsoftアカウント
- Slack
- 仮想通貨のサイト
- インターネットバンキング/金融機関のサイト
- Powered BLUE 870/OTP (TOTPモード及びHOTPに対応)
などです。
WinAuth はこれらのサービスでのワンタイムパスワードの認証に利用できます。
設定のフローは
1)WinAuth のインストール設定
2)ワンタイムパスワード対応のWebサーバー側のコード(共有鍵)の読み取り
Powered BLUE OTP はワンタイムパスワード認証機能付属のWebサイトを自社運用する際にWinAuth を利用した2要素認証でアクセスする場合をサンプルケースとして説明します。
3) Webサーバーへのアクセス
Powered BLUE OTP は多要素認証(IDパスワード認証・ワンタイムパスワード認証・SSLクライアント認証)のWebサイトを自社で簡単に構築・運用出来る仮想アプライアンスサーバーです。
ワンタイムパスワード認証の場合には、 Powered BLUE OTP へ事前にご利用ユーザーのアカウントを作成しておく必要があります。
WinAuth はオープンソースとして公開されており、GitHubからダウンロード出来ます
ダウンロード先
https://github.com/winauth/winauth
例 安定版 / Stable Version WinAuth-3.5.1.zip をダウンロードします
# md5sum WinAuth-3.5.1.zip
9393c999d1412c0d28cccea0f9cb95c3
ファイルの展開
設定
add をクリック
ターゲットWebの共有鍵
ブラウザでターゲットのPowered BLUE 870/OTP 上の Webサイトへアクセス
- 例 test-opt.mubit.com
- アカウント suzuki
ターゲットのWebサイトのユーザーのコード(共有鍵)を表示させます
コード(共有鍵)はユーザー毎に異なります
例 「LIX ….. ZDB」
スマホへの登録 (カメラ対応のソフトの場合)
WinAuthへの登録
1. Name サービス名を入力(自分で識別できる名称)
例 test-opt.mubit.com : suzuki
2. 共有鍵のコード入力
例 「LIX ….. ZDB」
3.時間ベース もしくは カウンターベース を選択
サーバー側の仕様に合わせます
4.Verify Authenticator を押す
5.現在のワンタイムパスワードが表示されます
パスワードの設定
WinAuth の起動時にパスワードプロテクトを設定可能です
☐ Protect with my own password にチェックを入れて、パスワードを設定します
暗号化を行ない動作をこのコンピュータに限定出来ます
☐ Encrypt to only be useable this computer
このコンピュータの現在のユーザーのみに動作を限定出来ます
☐ And only by the current user on this computer
YubiKey でロック可能です
☐ Lock with a Yubikey
以上で設定は終了です
WinAuth を起動 / パスワードを入力します ( パスワードプロテクトの場合 )
パスワードプロテクト機能は、第3者が勝手に当該PCなどのWinAuthを起動出来ないようにすることで、セキュリティレベルを高める事が出来ます
ワンタイムパスワードの表示
運用例
ワンタイムパスワード認証のWebサイトへアクセス
ブラウザで Powered BLUE 870/OTP 上の Webサイト
- 例 test-opt.mubit.com へアクセス
ワンタイムパスワードを表示
2要素認証の「アカウント」と「ワンタイムパスワード」と「ユーザーパスワード」を入力
Webサイトへの2要素認証が通った場合、ターゲットのWebページが表示されます
標準的なWebサイトの表示 例
WordPressへの適用 例
Web Mail / Roundcubeの適用 例
◉ 新規のWebサイトへワンタイムパスワード認証設定
Powered BLUE 870/OTP のでは、ワンタイムパスワード対応の自社Webサイトを作成&運用ができます
- 任意のWeb作成ツールで作成のWebページ
- WordPress対応のWebページ
◉ 既存のWebサイトへのワンタイムパスワード認証経由でアクセス
また既存のWebサイトには、ワンタイムパスワード認証のリバースプロキシ経由でのアクセスができます。既存のWebサイトの「認証機能が弱い場合」や、既存のWebサイト側の「認証機能がない場合」でも導入が可能です。
- ワンタイムパスワード認証のリバースプロキシ経由で指定Webサイトへのリダイレクト
Powered BLUE OTP-Rev のでは、ワンタイムパスワード対応のリバースプロキシ経由で自社Webサイトへアクセスさせる運用ができます。
時間を合わせる
なお利用時には、利用者側のPCやモバイル端末とサーバーの時間と日付けを正確に合わせておく必要があります。
Webサーバーと利用者側のPCやモバイル端末の時間が異なると、生成されるワンタイムパスワードの値も異なるために、正常なアクセスが出来ません。
◉ 既存のWebへ多要素認証経由でアクセス
Powered BLUE Web Station は、ワンタイムパスワード認証 & SSLクライアント認証およびリバースプロキシの機能を有したサーバーです。
- ワンタイムパスワード認証
- SSLクライアント認証
- リバースプロキシ
の構築・運用を1台で行なうことが出来ます。多要素認証経由でさらに高い安全性を確保したい場合に有効です。
◉ WAN側に設置のサーバーへのアクセス
WAN側に設置のWebサーバーへのアクセスについても、認証対応のリバースプロキシ経由でアクセスさせることができます。既存の社内WebサーバーをWAN側に移設する場合でも、認証対応のリバースプロキシ経由でのアクセスに限定することにより、セキュアなWebアクセスができます。
◉ Microsoft Authenticatorの場合
無償で利用できるマイクロソフト社のソフトウエア・トークンです
デモサイト
Powered BLUE のデモサイトを用意しています
各種操作やワンタイムパスワード認証、SSLクライアント認証、SAML認証やリバースプロキシなどの動作を確認することが出来ます
終わりに
ワンタイムパスワード認証でWebサイトの認証を強化したい方、既存で運用のWebサイトへのアクセスに認証機能を導入したい方。デモ環境で試してみたい方や詳しい話を聞いてみたい方などは、ムービットの お問い合わせフォーム からご連絡ください。